Seguridad Informaacutetica y Proteccioacuten de Datos
Caacutetedra Sistemas e Informacioacuten en la EmpresaTema 9
Profesor Freddy EsquedaPonentes Manuel Hernaacutendez Padroacuten
Ofelia Ramiacuterez Aponte
Contenido
Definiciones
Modelo de Sistema de Gestioacuten de Sistema Informaacutetico
Fiabilidad de la Informacioacuten
Poliacuteticas de Seguridad (ISO-7498-2)
Seguridad (ISOIEC 27001)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 3
Seguridad Informaacutetica Definicioacuten
bull Caracteriacutestica que indica que un sistema estaacute libre de todo peligro dantildeo o riesgo (Villaloacuten)
bull Es el conjunto de recursos utilizados para obtener la maacutexima fiabilidad de un sistema informaacutetico
bull Gerencialmente se puede percibir como el conjunto de medidas teacutecnicas organizativas y legales que permite a la organizacioacuten asegurar la confidencialidad integridad y disponibilidad de su sistema de informacioacuten
Seguridad Informaacutetica
bull iquestQueacute se protegebull El Hardware de caiacutedas o subidas de tensioacuten sabotajes etc
bull El Software de Malware (virus troyanos gusanos spyware cookies adware rootkit hijackers sniffers hoax etc)
bull Los datos son la parte maacutes sensible de un sistema informaacutetico el hardware se reemplaza el software se reinstala pero si no tenemos copia de seguridad actualizadahellip
ldquoLA SEGURIDAD DE SISTEMAS ES UN CAMINO NO UN DESTINOrdquo
Objetivo mantener los sistemas generando
resultados
Si los sistemas no se encuentran funcionando
entonces su costo se convierte en perdidas financieras (en el
menos grave de los casos)
El resultado generado por un sistema es la INFORMACIONque ALMACENA O PRODUCE
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 6
La seguridad informaacutetica NO es un
problema exclusivamente de las
computadoras
Las computadoras y las redes son el principal
campo de batalla
Se debe proteger aquello que tenga un
valor para alguien
Paradigmas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 7
Modelo de Gestioacuten
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 8
Activos Amenazas
Impactos Vulnerabilidades
Riesgos
Funcioacuten
Correctiva
Reduce
Funcioacuten
Preventiva
Reduce
Seguridad de Informacioacuten Modelo PDCA
bull PLANIFICAR (Plan) consiste en establecer el contexto en el se crean las poliacuteticas de seguridad se hace el anaacutelisis de riesgos se hace la seleccioacuten de controles y el estado de aplicabilidad
bull HACER (Do) consiste en implementar el sistema de gestioacuten de seguridad de la informacioacuten implementar el plan de riesgos e implementar los controles
bull VERIFICAR (Check) consiste en monitorear las actividades y hacer auditoriacuteas internas
bull ACTUAR (Act) consiste en ejecutar tareas de mantenimiento propuestas de mejora acciones preventivas y acciones correctivas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 9
Seguridad de Informacioacuten Modelo PDCA
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 10
bull Compromiso de la Direccioacutenbull Planificacioacutenbull Fechasbull Responsables
bull Definir alcance del SGSIbull Definir Poliacutetica de Seguridadbull Metodologiacutea de evaluacioacuten de riesgosbull Inventario de activosbull Identificar amenazas y vulnerabilidadesbull Identificar impactosbull Anaacutelisis y evaluacioacuten de riesgosbull Selccioacuten de controles
bull Definir plan de tratamiento de riesgos
bull Implantar plan de tratamiento de riesgos
bull Implementar los controlesbull Formacioacuten y concienciacioacutenbull Operar el SGSI
bull Implementar mejorasbullAcciones correctivasbullAcciones preventivasbullComprobar eficacia de las acciones
bull Revisar el SGSIbull Medir eficacia de los controlesbull Revisar riesgos residualesbull Realizar auditoriacuteas internas del
SGSIbull Registrar acciones y eventos
iquestQueacute es la seguridad informaacutetica
Poliacuteticas procedimientos y teacutecnicas para asegurar la integridad disponibilidad y confiabilidad de datos y sistemas
Prevenir y detectar amenazas Responder de una forma adecuada y con prontitud ante un incidente
Proteger y Mantener los sistemas funcionando
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 11
iquestQueacute se debe garantizar
bull Confidencialidad Se garantiza que la informacioacuten es accesible soacutelo a aquellas personas autorizadas a tener acceso a la misma
bull Integridad Se salvaguarda la exactitud y totalidad de la informacioacuten y los meacutetodos de procesamiento
bull Disponibilidad Se garantiza que los usuarios autorizados tienen acceso a la informacioacuten y a los recursos relacionados con la misma toda vez que se requiera
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 12
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 13
iquestQueacute es una poliacutetica de seguridad
Una directriz que contendraacute los objetivos de la empresa en materia de seguridad del sistema de informacioacuten
Estos objetivos se engloban en cuatro grupos
bull Identificar
bull Relacionar
bull Proporcionar
bull Detectar
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 14
Alcance de la Poliacutetica de Seguridad
bullNecesidades de seguridad
bullRiesgos que amenazan el sistema
bull Impactos ante un ataque ndashevaluarlos-Identificar
bullMedidas de seguridad para afrontar riesgos de activos o grupos de activosRelacionar
bullPerspectiva general de las reglas y procedimientos para afrontar riesgos identificados en los diferentes departamentosProporcionar
bullVulnerabilidades del sistema de informacioacuten
bullControlar los fallos producidosDetectar
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 15
Anaacutelisis de Riesgo
Estrategias de Recuperacioacuten
Desarrollo de las Estrategias
Desarrollo de los Procedimientos
Pruebas y Entrenamiento
Plan de Mantenimiento
Consecuencia de la Poliacutetica de Seguridad
bull La definicioacuten del plan de contingencias es uno de los resultados y parte de la poliacutetica de seguridad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 16
Esta norma define una poliacutetica de autorizacioacuten geneacuterica la cual puede formularse de la siguiente forma
ldquoLa informacioacuten no puede darse ni puede permitirse el acceso a ella ni se puede permitir que sea inferida ni se puede utilizar ninguacuten recurso por parte de personas o entidades que no estaacuten autorizadas de forma apropiadardquo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 17
bull Determinacioacuten del acceso y uso de los recursos en base a las identidades de los usuarios y recursos
Poliacuteticas Basadas en Identidad
bull El acceso a los recursos se controla a traveacutes de reglas globales impuestas a todos los usuarios por ejemplo utilizando etiquetas de seguridad
Poliacuteticas Basadas en Reglas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 18
bull Autenticacioacuten tanto de entidades como de origen
bull Control de acceso
bull Confidencialidad de los datos
bull Integridad de los datos
bull No repudio
Define cinco categoriacuteas principales de servicios
de seguridad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 19
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 20
Propietariosvaloran
Quieren minimizar
Salvaguardasdefinen
Pueden tener conciencia de
Amenazasexplotan
VulnerabilidadesPermiten o facilitan
Dantildeo
RECURSOSQue pueden tener
Reducen
RIESGO
Fecha __ __ __
Componente Supervisioacuten
Formulario nuacutemero 6 - Mapeo de Riesgos resultado de la evaluacioacuten de Efectividad Eficiencia y Cumplimiento de los Controles
Fecha ________
Entidad evaluada _____________ Proceso _____________________________________Sub Proceso_______________________________________Etapa sub proceso________________________
Elaborado por____________________________________Aprobado Por_________________________________ Pag __ de __
8 500
3 300
0
3
6
9
12
0 3 6 9 12
PR
OB
AB
ILID
AD
IMPACTO
MAPA DE RIESGOS
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 21
Responsabilidad de la Gerencia
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 22
Seguridad Informaacutetica ISOIEC 27001
ldquoLa seguridad informaacutetica consiste en la implantacioacuten de un conjunto de medidas teacutecnicas destinadas a preservar la confidencialidad la integridad y la disponibilidad de la informacioacuten pudiendo ademaacutes abarcar otras propiedades como la autenticidad la responsabilidad la fiabilidad y el no repudiordquo
Es la definicioacuten ofrecida por el estaacutendar para la seguridad de la informacioacuten ISOIEC 27001 aprobado y publicado en octubre de 2005 por la International Organization for Standardization (ISO) y por la comisioacuten International Electrotechnical Commission (IEC)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 23
Estructura Organizacional
Poliacutetica de Seguridad
Organizacioacuten de la Seguridad de la Informacioacuten
Gestioacuten de Activos Control de Acceso
Cumplimiento Conformidad Informacioacuten de gestioacuten de incidentes de seguridad
Seguridad de los recursos humanos
Gestioacuten de continuidad del negocio
Sistemas de Informacioacuten de adquisicioacuten desarrollo y mantenimiento
Comunicacioacuten y gestioacuten de operaciones
Seguridad fiacutesica y ambiental
Los 11 dominios de la ISOIEC 27001bull Poliacutetica de Seguridadbull Organizacioacuten de la seguridad de la
informacioacutenbull Gestioacuten de Activosbull Seguridad de los recursos humanosbull Seguridad fiacutesica y ambientalbull Comunicacioacuten y gestioacuten de
operacionesbull Control de accesobull Sistemas de informacioacuten de
adquisicioacuten desarrollo y mantenimiento
bull Informacioacuten de gestioacuten de incidentes de seguridad
bull Gestioacuten de continuidad del negociobull Cumplimiento Conformidad
Gerencia
Operaciones
Leyenda
Aspectos Gerenciales
Aspectos Teacutecnicos
Aspectos Fiacutesicos
Riesgos Amenazas
VulnerabilidadesGestioacuten de Riesgos en TI
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 25
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 26
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 27
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
DE ATAQUES INTERNOS PARA DANtildeAR DATOS O SISTEMAS FRAUDES ERRORES EN EL MANEJO DE
SISTEMAS
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 28
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 29
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 30
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 31
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Seguridad Informaacutetica a Nivel de Usuarios
bull Los usuarios se acostumbran a usar la tecnologiacutea sin saber como funciona o de los riesgos que pueden correr
bull Son el punto de entrada de muchos de los problemas croacutenicos
bull Son ldquoEl eslaboacuten maacutes deacutebilrdquo en la cadena de seguridad
Usuarios comunes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 32
Seguridad Informaacutetica a Nivel de Usuarios
bull Principio del MENOR PRIVILEGIO POSIBLE
bull EDUCAR AL USUARIO
Dos enfoques para
controlarlos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 33
Seguridad Informaacutetica a Nivel de Usuarios
Principio del MENOR PRIVILEGIO POSIBLE Implica seguridad de
acceso al sistema (usuario password perfiles de usuario de
manera transaccional ndash seguridad por posicioacuten workflow)
bull Reducir la capacidad de accioacuten del usuario sobre los sistemas
bull Objetivo Lograr el menor dantildeo posible en caso de incidentes
Administracioacuten de privilegios
bull Usuarios uacutenicos e intransferibles
bull Procesos de desactivacioacuten de cuentas y activacioacuten del reemplazo (en periacuteodos vacacionales y de reposos)
bull Administracioacuten de claves de acceso
bull Alfanumeacutericas + caracteres especiales + mayuacutesculas minuacutesculas
bull Caducidad
bull Bloqueo por intentos fallidos
bull Prohibicioacuten de palabras y datos de uso comuacuten o asociadas al usuario
bull Reseteo de clave de forma automaacutetica con preguntas de desafiacuteo (pe usando datos encriptados que solo el usuario conoce como fecha de ingreso a la empresa)
bull Perfil de usuario
bull De acuerdo a la actividad y delegacioacuten de autoridad de acuerdo a su posicioacuten y responsabilidades
bull Esquemas de proteccioacuten de datos e informacioacuten (Privado Confidencial y Estrictamente Privado y Confidencial) seguacuten la posicioacuten y actividades (previendo delincuencia comuacuten o DDOO)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 34
Seguridad Informaacutetica a Nivel de Usuarios
EDUCAR AL USUARIO
bull Documentar y publicar todas las normas y procedimientos asociados
bull Generar una cultura de seguridad El usuario ayuda a reforzar y aplicar los mecanismos de seguridad
bull Objetivo Reducir el nuacutemero de incidentes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 35
Adicionales a los que ya
se mostroacute para
usuarios comunes se
debe
bull Seguridad de acceso a las instalaciones (aacuterea de desarrollo y aacuterea de servidores o main frame)
bull Poliacutetica de respaldo de informacioacuten y programas que incluyan backups in situ outside a modo copia espejo e incremental (solo variaciones)
bull Poliacuteticas de sustraccioacuten de datos incluyendo el uso de CDROM y Pendrivers (Wikiliks)
bull Crear ambientes de desarrollo de software aislados de los ambientes de produccioacuten (operaciones de la empresa) y de prueba Crear ambientes de prueba con participacioacuten funcional
bull Crear protocolos de procesos de cambio (implantacioacuten de sistemas actualizacioacuten de software incluidos los sistemas operativos) que incluyan respaldo total de programas y datos a modo espejo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 36
Seguridad Informaacutetica a Nivel de Usuarios
Vulnerabilidad
bull En un sistema informaacutetico lo que queremos proteger son sus activos es decir los recursos que forman parte del sistema y que podemos agrupar enbull - Hardware - Software
bull - Datos - Otros
bull Los mas criacuteticos son los datos el hardware y el software Es decir los datos que estaacuten almacenados en el hardware y que son procesados por las aplicaciones software
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 37
Vulnerabilidad
bull Es la debilidad de cualquier tipo que compromete la seguridad del sistema informaacutetico
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 38
Disentildeobull Debilidad en el disentildeo de protocolos utilizados en las redes
bull Poliacuteticas de seguridad deficientes e inexistentes
Implementacioacuten
bull Errores de programacioacuten
bull Existencia de ldquopuertas traserasrdquo en los sistemas informaacuteticos
bull Descuido de los fabricantes
Uso
bull Mala configuracioacuten de los sistemas informaacuteticos
bull Desconocimiento y falta de sensibilizacioacuten de los usuarios y de los responsables de informaacutetica
bull Disponibilidad de herramientas que facilitan los ataques
bull Limitacioacuten gubernamental de tecnologiacuteas de seguridad
Vulnerabilidades conocidas
bull Firewall
bull Antivirus
bull Malware
bull Antispy
bull Protocolos de encriptacioacuten
bull Firmas digitales
bull Monitoreo de redes (Comunity Manager)
Consisten en ataques
intercepciones de datos y enviacuteo de
informacioacuten usurpando identidad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 39
Vulnerabilidades
bull Ataques contra el flujo de la informacioacuten FLUJO NORMAL
Los mensajes en una red se enviacutean a partir de un emisor a uno o varios receptores
El atacante es un tercer elemento en la realidad existen millones de elementos atacantesintencionales o accidentales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 40
Emisor Receptor
Atacante
bull INTERRUPCIONbull El mensaje no puede llegar a su destino un recurso del sistema es destruido o
temporalmente inutilizado
bull Este es un ataque contra la Disponibilidad
bull Ejemplos Destruccioacuten de una pieza de hardware cortar los medios de comunicacioacuten o deshabilitar los sistemas de administracioacuten de archivos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 41
Vulnerabilidades
Emisor
Atacante
Receptor
Vulnerabilidades
bull INTERCEPCIONbull Una persona computadora o programa sin autorizacioacuten logra el acceso a un
recurso controlado
bull Es un ataque contra la Confidencialidad
bull Ejemplos Escuchas electroacutenicos copias iliacutecitas de programas o datos escalamiento de privilegios
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 42
Emisor
Atacante
Receptor
Vulnerabilidades
bull MODIFICACIONbull La persona sin autorizacioacuten ademaacutes de lograr el acceso modifica el mensaje
bull Este es un ataque contra la Integridad
bull Ejemplos Alterar la informacioacuten que se transmite desde una base de datos modificar los mensajes entre programas para que se comporten diferente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 43
bull FABRICACIONbull Una persona sin autorizacioacuten inserta objetos falsos en el sistemabull Es un ataque contra la Autenticidadbull Ejemplos Suplantacioacuten de identidades robo de sesiones robo de contrasentildeas
robo de direcciones IP etcbull Es muy difiacutecil estar seguro de quieacuten esta al otro lado de la liacutenea
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 44
Vulnerabilidades
Emisor
Atacante
Receptor
iquestQuienes Atacan los Sistemas
Gobiernos Extranjeros
Espiacuteas industriales o poliacuteticos
Criminales
Empleados descontentos y abusos internos
Adolescentes sin nada que hacer
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 45
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 46
Estado del ataque Ejemplo de Acciones
1-Buacutesqueda de Ingreso Correr un scanner de puertos
2-Penetracioacuten Explorar un sistema sin parches de seguridad
3-Elevacioacuten de Privilegios Lograr cuenta de Administrador
5-Enmascaramiento Borrado de rastros del ingreso y ataque
4-Ataque en si mismo Robo de datos destruccioacuten del sitio web etc
INTRUSO
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 47
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 48
Actuacioacuten del Criminal
bull Se requieren talentos especiales
bull El fraude ha crecido gracias a la aparicioacuten de las computadoras
Mitos
bull Dinero
bull Satisfaccioacuten (egocentrismo)
bull Ideologiacutea
bull Psicosis
Motivaciones personales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 49
bull Ambiente de trabajo
bull Prestaciones
bull Nivel de confianza interpersonal
bull Eacutetica ambiental
bull Nivel de stress
bull AMBIENTE DE CONTROL INTERNO
Motivaciones ambientales
Ethical Hacking
Es una intrusioacuten eacutetica es la aplicacioacuten de herramientas de intrusioacuten penetracioacuten robo personificacioacuten y negacioacuten de servicio llevado a cabo por hackers eacuteticos es decir personas con la experiencia y conocimiento suficiente para llevar a cabo estas pruebas en nombre de la organizacioacuten es decir de manera legal y prevista para determinar el nivel de seguridad de una red de equipos o servicios (incluido el aspecto de ingenieriacutea social)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 50
Ethical Hacking
bull al conocer el nivel de seguridad que se tiene en nuestra organizacioacuten es mucho maacutes sencillo no simple el tomar medidas que puedan subsanar estas deficienciasiquestPor queacute es
Importante
bull No al usar las armas que el enemigo usa es maacutes factible que podamos determinar el nivel de riesgo y por tanto la respuesta que debemos dar ante un ataque vieacutendolo como analogiacutea meacutedica es como cuando nos vacunan pues nos inoculan una versioacuten del virus del cual nos quieren hacer inmunes
iquestNo es contraproducente
bull Al contratar un servicio o realizarlo de manera interna estamos confiando en la eacutetica profesional de quien evaluacutea por lo que siacute siempre llevamos un riesgo pero se establece un contrato de buena fe hacieacutendolo suficientemente fiable (asegurando)iquestEs fiable
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 51
Ejemplos de Criacutemenes Electroacutenicos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 52
Ataque en 1986 de alemanes trabajando para la KGB contra sistemas estrateacutegicos de EEUU (Clifford Stoll Cuckooacutes egg)
El gusano Morris que se propagoacute por internet en 1988
causando un problema de DoS La causa fue la interrupcioacuten
causada por un programa escrito por Robert Tappan Morris
414 Gang enviacutea ataques contra los registros meacutedicos del
hospital para enfermos de caacutencer Sloan-Kettering
Ataques de Kevin Mitnick 1989-1996
Penetracioacuten de la red de Microsoft en octubre de 2000
por un cracker que ganoacute acceso a programas en desarrollo
Esparcimiento del Love Letter difundido por Onel Guzmaacuten en
Filipinas
53
DDoS contra Yahoo Amazon y Zdnet
Muacuteltiples problemas por virus desde
entonces
Target (Robo de informacioacuten de clientes
Identidad y datos financieros)
Juegos del Hambre
Ataque a Sony (Cyberterrorismo) y la
Respuesta con el apagoacuten de internet a
Korea del Norte
Carnabank (Europa oriental europa
occidental EEUU Panamaacute)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
Ejemplos de Criacutemenes Electroacutenicos
Algunas Clases de Ataques
Negacioacuten de Servicio (DoS)
Robo de contrasentildeas
Robo de identidad
Ingenieriacutea social
Defacement
FraudePirateriacutea de
softwareDumpster
divingCoacutedigo
MaliciosoIP spoofing
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 54
Algunas Clases de Ataques
EspionajeDestruccioacuten o alteracioacuten de informacioacuten
Uso de scripts de ataque
desarrolladosPhishing
Ciber -Terrorismo
War DialingWar
DrivingWalkingWar Chalking
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 55
El Caso Carbanak 1MMMUS$
La banda delictiva ciberneacutetica CARBANAK roba mil millones de doacutelares de 100 instituciones financieras en todo el mundo Kaspersky Lab la INTERPOL EUROPOL y autoridades de diferentes paiacuteses han unido sus fuerzas para dejar al descubierto el complot delictivo de un robo ciberneacutetico sin precedentes Hasta mil millones de doacutelares americanos fueron robados en cerca de dos antildeos de instituciones financieras en todo el mundo Los expertos informan que la responsabilidad del robo recae en una banda multinacional de ciberdelincuentesde Rusia Ucrania y otras partes de Europa asiacute como de China
La banda CARBANAK responsable del robo ciberneacutetico utilizoacute teacutecnicas extraiacutedas del arsenal de los ataques selectivos El complot marca el inicio de una nueva etapa en la evolucioacuten de la actividad de delincuencia ciberneacutetica donde usuarios maliciosos roban dinero directamente de los bancos y evitan concentrar sus ataques en los usuarios finales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 56
Comunicado de prensa 160215 - Karpersky
5705062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
MALWARE
El malware es un tipo de software que tiene como objetivo infiltrarse o dantildear un ordenador sistema de informacioacuten sin el consentimiento de su propietario
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 58
POPUP
bull Un pop-up es un tipo de ventana web que aparece delante de la ventana de un navegador al visitar una paacutegina web
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 59
VOLVER
ADWARE
bull Un programa de clase adware es cualquier programa que automaacuteticamente muestra publicidad web al usuario durante su instalacioacuten o durante su uso para generar lucro a sus autores
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 60
SPAM
bull Se llama spam correo basura a los mensajes no solicitados no deseados o de remitente no conocido habitualmente de tipo publicitario generalmente enviados
en grandes cantidades que perjudican al receptor
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 61
Bomba Loacutegica
Son programas informaacuteticos que se instala en un ordenador y permanece oculto hasta cumplirse una o maacutes condiciones preprogramadas para en ese momento ejecutar una accioacuten
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 62
volver
VIRUS DE MACROS
bull Es una secuencia de oacuterdenes de teclado y ratoacuten asignadas a una sola tecla Los virus de macros afectan a archivos y plantillas que los contienen hacieacutendose pasar por una macro y no actuaraacuten hasta que el archivo se abra o utilice
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 63
VOLVER
VIRUS RESIDENTES
bull Se colocan automaacuteticamente en la memoria RAM del ordenador De este modo pueden controlar e interceptar todas las operaciones llevadas a cabo por el sistema operativo infectando todos aquellos ficheros yo programas que sean ejecutados abiertos cerrados renombrados copiados etc
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 64
VIRUS DE ENLACE
bull Modifican las direcciones que permiten a nivel interno acceder a cada uno de los archivos existentes y como consecuencia no es posible localizarlos y trabajar con ellos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 65
VOLVER
VIRUS MUTANTES
bull Son virus que mutan es decir x Debido a estas mutaciones cada generacioacuten de virus es diferente a la versioacuten anterior dificultando asiacute su deteccioacuten y eliminacioacuten
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 66
VIRUS DE BOOT
bull Se activan en el momento en el que se arranca el ordenador desde un disco infectado ya sea desde el disco duro o desde una memoria USB
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 67
VOLVER
VIRUS DE PROGRAMA
bull Comuacutenmente infectan archivos con extensiones EXE COM OVL DRV BIN DLL y SYS
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 68
VOLVER
VIRUS DE SOBREESCRITURA
bull Sobre-escriben en el interior de los archivos atacados haciendo que se pierda el contenido de los mismos
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 69
Ataques de Seguridad
bull Spyware Es un software de computadoraque al instalarse intercepta o toma controlparcial de la interaccioacuten de lacomputadora y el usuario esto sin que elmismo se de cuenta Estos programaspueden recolectar diferentes tipos deinformacioacuten de los usuarios asiacute comoinstalar software adicional sin elconsentimiento de los mismos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 70
71
Herramientas de Seguridad
bull Gusano Es un programa de computadora quepuede replicarse a si mismo utiliza la red paraenviar copias de si mismo a otros nodos y lopuede hacer sin la intervencioacuten del usuario
A diferencia de los ldquovirusrdquo los gusanos nonecesitan estar amarrados a un programa y sufuncioacuten es principalmente dantildear la red (ejdesempentildeo) mientras que los virus dantildeanarchivos en computadoras
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
72
Ataques de Seguridad
bull Caballo de Troya Es una programa que seinstala bajo la creencia de que se estainstalando alguna otra cosa Los troyanosson programas muy utilizados parainstalar programas tipo ldquobackdoorsrdquo quepermiten el acceso no autorizado a lacomputadora atacada un ejemplo deprogramas tipo backdoor son losKeyloogers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
73
Ataques de Seguridad
bull DoS Denial of service- Ataques quehacen indisponible un servicio a losusuarios
bull DDoS Son conocidos como DNSBackbone Distributed Denial ofServices ndash Ataques tienen comoblanco los servidores raiacutez DNS por lotanto afectan uno de los pilares delInternet los nombres de los dominios
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
74
Ataques de Seguridad
bull Footprinting Teacutecnica utilizada para reunir informacioacuten acerca de sistemas computacionales y las entidades a las que pertenece algunos ejemplos son
- Domain queries
- Network queries
- Organizational queries
- TCP scans
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
75
Ataques de Seguridad
bull Fingerprinting Tambieacuten es conocidocomo TCPIP stack fingerprinting y esutilizado para determinar que sistemaoperativo utiliza alguacuten blanco en la redExiste dos tipos de fingerprinting
- Pasivo- Activo
NMAP es una herramienta que utilizafingerprinting activo para mapearpuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
76
Ataques de Seguridad
bull Escaneo de puertos El escaneo depuertos se basa en el FingerprintingActivo es decir transmite y recibesentildeales como ICMP TELNET SNMPdesde un blanco determinado en lared esto con el fin de obtenerinformacioacuten de dicho blanco en estecaso informacioacuten acerca de suspuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
77
Ataques de Seguridad
bull Sniffing Para llevar a cabo el sniffing esnecesario contar con un ldquopacket snifferrdquoque puede ser software instalado en unacomputadora o un dispositivoindependiente (appliance) estedispositivo es utilizado para interceptar yregistrar traacutefico que pasa a traveacutes de unared o de un segmento de la misma(Puede ser de una red ethernet owireless)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
78
Ataques de Seguridad
bull Spoofing Los ataques tipo spoofing sonaquellos en los que una persona oprograma logra hacerse pasar por otrafalsificando informacioacuten o utilizando laingenieriacutea algunos ataques tipo spoofingson los siguientes
- Falsificacioacuten de direccioacuten de email
- Falsificacioacuten de ID de llamadas telefoacutenicas
- Falsificacioacuten de sitios de internet (phishing)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
79
Ataques de Seguridad
bull Phishing Es el uso de teacutecnicas deingenieriacutea social con la finalidad deadquirir de manera fraudulentainformacioacuten confidencial comonombres de usuarios contrasentildeasinformacioacuten de tarjetas de creacutedito
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
80
Ataques de Seguridad
bull Ingenieriacutea Social Se refiere a unacoleccioacuten de teacutecnicas utilizadas paramanipular a las personas para querealicen alguna accioacuten o divulgueninformacioacuten confidencial
Algunos ingenieros sociales notablesson
- Kevin Mitnik
- Frank Abagnale
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
Ingenieriacutea Social
Es el conjunto de meacutetodos y praacutecticas usados para obtener informacioacuten de usuarios legiacutetimos y con la informacioacuten obtenida lograr acceso a sistemas protegidos siendo esta praacutectica de uso comuacuten entre piratas informaacuteticos y delincuentes computacionales
Coacutemo me afecta Al no validar las referencias o no seguir el protocolo de seguridad adecuado para divulgar contrasentildeas o cualquier otra informacioacuten sensible podemos ser coacutemplices de un crimen Meacutexico ha acordado con organismos internacionales la homologacioacuten yo adecuacioacuten de coacutedigos penales para que estos delitos sean perseguidos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 81
Ingenieriacutea Social
Coacutemo puedo saber si estoy siendo viacutectima de un ingeniero social Muy simple cuando alguien nos pide alguacuten tipo de informacioacuten privilegiada y esta persona es insistente cuando le requerimos seguir un protocolo para validar su intencioacuten es altamente probable que estemos siendo viacutectimas de un intento de robo de informacioacuten por un ingeniero socialhacker
Coacutemo puedo evitarlo Sencillo si no confiamos en la persona que nos solicita los datos (supongamos un teacutecnico de soporte de nuestro lugar de trabajo) podemos pedirle que nos deje sus datos y comunicarnos con el 10 minutos despueacutes de validar que la peticioacuten es legiacutetima es decir soacutelo sigamos los protocolos que existen en el trabajo y crear los propios en casa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 82
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra los Sistemas que Utilizan Tecnologiacuteas de Informacioacuten
bull Artiacuteculo 6 Acceso indebido
bull Artiacuteculo 7 Sabotaje o dantildeo a sistemas
bull Artiacuteculo 8 Favorecimiento culposo del sabotaje o dantildeo
bull Artiacuteculo 9 Acceso indebido o sabotaje a sistemas protegidos
bull Artiacuteculo 10 Posesioacuten de equipos o prestacioacuten de servicios de sabotaje
bull Artiacuteculo 11 Espionaje informaacutetico
bull Artiacuteculo 12 Falsificacioacuten de documentos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 83
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Propiedad
bull Artiacuteculo 13 Hurto
bull Artiacuteculo 14 Fraude
bull Artiacuteculo 15 Obtencioacuten indebida de bienes o servicios
bull Artiacuteculo 16 Manejo fraudulento de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 17 Apropiacioacuten de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 18 Provisioacuten indebida de bienes o servicios
bull Artiacuteculo 19 Posesioacuten de equipo para falsificaciones
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 84
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Privacidad de las Personas y de las Comunicaciones
bullArtiacuteculo 20 Violacioacuten de la privacidad de la data o informacioacuten de caraacutecter personal
bullArtiacuteculo 21 Violacioacuten de la privacidad de las comunicaciones
bullArtiacuteculo 22 Revelacioacuten indebida de data o informacioacuten de caraacutecter personal
De los Delitos Contra Nintildeos Nintildeas o Adolescentes
bullArtiacuteculo 23 Difusioacuten o exhibicioacuten de material pornograacutefico
bullArtiacuteculo 24 Exhibicioacuten pornograacutefica de nintildeos o adolescentes
De los Delitos Contra el Orden Econoacutemico
bullArtiacuteculo 25 Apropiacioacuten de propiedad intelectual
bullArtiacuteculo 26 Oferta engantildeosa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 85
Plan de Contingencia Continuidad Operacional
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 86
Plan de Contingencia
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 87
ldquoConjunto de Normas y Procedimientos documentadosy comunicados que tienen por objetivo minimizar los riesgos informaacuteticos mas probablesrdquo
InvolucrabullUso de herramientas
bullCumplimiento de Tareas por
parte de personas
Plan de Contingencia
Consta de tres subplanes independientes
bull Plan de Respaldo crear y conservar en un lugar seguro copias de seguridad de la informacioacuten
bull Pla de Emergencia queacute medidas tomar cuando se estaacute materializando una amenaza o cuando acaba de producirse
bull Plan de Recuperacioacuten medidas que se aplicaran cuando se ha producido un desastre El objetivo es evaluar el impacto y regresar lo antes posible
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 88
Plan de Contingencia
En la elaboracioacuten de este plan no se puede dejar por fuera a los miembros de la organizacioacuten el cual debe estar informado y entrenado para actuar en las funciones que le hayan sido encomendadas en caso de producirse una amenaza o impacto
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 89
Continuidad Operacional
Business Continuity Planning (Plan de Continuidad de negocios)
bull Plan Baacutesico
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Coldsite)
bull Plan Intermedio
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan Alto
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan de respuesta y continuidad de negocios alternativo (sin asistencia de sistemas)
bull Stress Testing al Plan
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 90
El Stress Testing
bull Poner a prueba el planbull Revise y evalueacute
bull Respaldosbull Oportunidad integridad y funcionalidadbull Custodia y transporte
bull Cold y Hotsitebull Funcionalidad accesibilidad y compatibilidadbull Actualizacioacuten oportuna (hotsite)
bull Personalbull Roles y funcionesbull Accesibilidad (contactos y comunicaciones)
bull Simulacioacuten de cataacutestrofesbull Sin previo aviso el director encargado del BCP se presenta en el centro de computo
cronometro en mano y baja la cuchilla de electricidad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 91
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de Lehman Brothers
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el WorldTrade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehman se desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del World Trade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehman teniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 92
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de LehmanBrothers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 93
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el World Trade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehmanse desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 94
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del WorldTrade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehmanteniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 95
La Contingencia Manual la Uacuteltima Frontera
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 96
05062015 97
DATOS BAacuteSICOS
Responsable A Nivel Corporativo Responsable(s) A Nivel Regional
PROVEEDOR (ES)
Origen Responsable Insumo (s)
RESULTADOS
Normas y Procedimientos Asociados Fecha uacuteltima revisioacuten Sistemas Aplicaciones Asociadas
Proceso
CALIFICACIOacuteN DE CONTROLES DE ENTRADA
Actividad
RECOMENDACIONES
Procesamiento
Automaacutetico (A)Manual (M)
Frecuencia
Adiestramiento Proceso Sistema N y P Otros
Negocio Area Localidad
Responsable
Nombre CargoNombre Cargo
NOMBRE
ELABORADO POR
CARGO FIRMA
Calidad de Data (B) Buena (R) Regular (M) Mala Oportunidad (AT) A Tiempo (R) Retrasada Revisioacuten Aprobacioacuten (S) Si (N) NoLEYENDA
Calificacioacuten (F) Fuerte (M) Medio (B) Bajo
DescripcioacutenResponsableDescripcioacuten
Tarea
Descripcioacuten
FRECUENCIA DE LA TAREA Diaria (D) Semanal (S) Mensual (M) Trimestral (T) Anual (A) Ocasional (O)
Soportes Recepcioacuten (P) Papel (E) Electroacutenico Archivo (S) Si (N) No Soportes Enviacuteo (S) Si (N) No Backup (S) Si (N) No
Producto (s) Cliente ReceptorControl
de salida
SoportesFrecuencia
Recepcioacuten Backup
DOCUMENTOS SISTEMAS ASOCIADOS A LOS CONTROLES
CALIFICACIOacuteN DE CONTROLES (por parte del Cliente Receptor)
Revisioacuten
Aprobacioacuten
Revisioacuten
AprobacioacutenTipo de control
Procesamiento
Automaacutetico (A)Manual (M)
Control
De EntradaTipo de control
Soportes
Recepcioacuten Archivo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 98
DATOS BAacuteSICOS
TareaActividad
Proceso Responsable del Proceso
Fecha de Elaboracioacuten 2015
Accioacuten (es) Responsable (s)
OBSERVACIONES ELABORADO POR
FIRMA
NOMBRE
Plan de recuperacioacuten y Reactivacioacuten de Finanzas
Recomendaciones Acciones
La Cadena de Valor de una Organizacioacuten de Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 99
ASESORAR EN CONTROLES DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR DELEGACIONES FINANCIERAS
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
CONTROLAR SEGURIDAD SISTEMA
OPERACIONALES ADMINISTRATIVOS Y OTROS
SISTEMAS FINANCIEROS
DESARROLLAR CONTROLES
DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR Y DESARROLLAR PLAN INTEGRAL DE CONTROL ( PIC )
Asesorar en controles de procesos normas y
Procedimientos
Administrar delegaciones financieras
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
Controlar seguridad sistema
operacionales administrativos y otros
sistemas financieros
Desarrollar
controles de
procesos
normas y
procedimientos
Administrar y desarrollar plan integral de control ( PIC )
Contenido
Definiciones
Modelo de Sistema de Gestioacuten de Sistema Informaacutetico
Fiabilidad de la Informacioacuten
Poliacuteticas de Seguridad (ISO-7498-2)
Seguridad (ISOIEC 27001)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 3
Seguridad Informaacutetica Definicioacuten
bull Caracteriacutestica que indica que un sistema estaacute libre de todo peligro dantildeo o riesgo (Villaloacuten)
bull Es el conjunto de recursos utilizados para obtener la maacutexima fiabilidad de un sistema informaacutetico
bull Gerencialmente se puede percibir como el conjunto de medidas teacutecnicas organizativas y legales que permite a la organizacioacuten asegurar la confidencialidad integridad y disponibilidad de su sistema de informacioacuten
Seguridad Informaacutetica
bull iquestQueacute se protegebull El Hardware de caiacutedas o subidas de tensioacuten sabotajes etc
bull El Software de Malware (virus troyanos gusanos spyware cookies adware rootkit hijackers sniffers hoax etc)
bull Los datos son la parte maacutes sensible de un sistema informaacutetico el hardware se reemplaza el software se reinstala pero si no tenemos copia de seguridad actualizadahellip
ldquoLA SEGURIDAD DE SISTEMAS ES UN CAMINO NO UN DESTINOrdquo
Objetivo mantener los sistemas generando
resultados
Si los sistemas no se encuentran funcionando
entonces su costo se convierte en perdidas financieras (en el
menos grave de los casos)
El resultado generado por un sistema es la INFORMACIONque ALMACENA O PRODUCE
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 6
La seguridad informaacutetica NO es un
problema exclusivamente de las
computadoras
Las computadoras y las redes son el principal
campo de batalla
Se debe proteger aquello que tenga un
valor para alguien
Paradigmas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 7
Modelo de Gestioacuten
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 8
Activos Amenazas
Impactos Vulnerabilidades
Riesgos
Funcioacuten
Correctiva
Reduce
Funcioacuten
Preventiva
Reduce
Seguridad de Informacioacuten Modelo PDCA
bull PLANIFICAR (Plan) consiste en establecer el contexto en el se crean las poliacuteticas de seguridad se hace el anaacutelisis de riesgos se hace la seleccioacuten de controles y el estado de aplicabilidad
bull HACER (Do) consiste en implementar el sistema de gestioacuten de seguridad de la informacioacuten implementar el plan de riesgos e implementar los controles
bull VERIFICAR (Check) consiste en monitorear las actividades y hacer auditoriacuteas internas
bull ACTUAR (Act) consiste en ejecutar tareas de mantenimiento propuestas de mejora acciones preventivas y acciones correctivas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 9
Seguridad de Informacioacuten Modelo PDCA
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 10
bull Compromiso de la Direccioacutenbull Planificacioacutenbull Fechasbull Responsables
bull Definir alcance del SGSIbull Definir Poliacutetica de Seguridadbull Metodologiacutea de evaluacioacuten de riesgosbull Inventario de activosbull Identificar amenazas y vulnerabilidadesbull Identificar impactosbull Anaacutelisis y evaluacioacuten de riesgosbull Selccioacuten de controles
bull Definir plan de tratamiento de riesgos
bull Implantar plan de tratamiento de riesgos
bull Implementar los controlesbull Formacioacuten y concienciacioacutenbull Operar el SGSI
bull Implementar mejorasbullAcciones correctivasbullAcciones preventivasbullComprobar eficacia de las acciones
bull Revisar el SGSIbull Medir eficacia de los controlesbull Revisar riesgos residualesbull Realizar auditoriacuteas internas del
SGSIbull Registrar acciones y eventos
iquestQueacute es la seguridad informaacutetica
Poliacuteticas procedimientos y teacutecnicas para asegurar la integridad disponibilidad y confiabilidad de datos y sistemas
Prevenir y detectar amenazas Responder de una forma adecuada y con prontitud ante un incidente
Proteger y Mantener los sistemas funcionando
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 11
iquestQueacute se debe garantizar
bull Confidencialidad Se garantiza que la informacioacuten es accesible soacutelo a aquellas personas autorizadas a tener acceso a la misma
bull Integridad Se salvaguarda la exactitud y totalidad de la informacioacuten y los meacutetodos de procesamiento
bull Disponibilidad Se garantiza que los usuarios autorizados tienen acceso a la informacioacuten y a los recursos relacionados con la misma toda vez que se requiera
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 12
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 13
iquestQueacute es una poliacutetica de seguridad
Una directriz que contendraacute los objetivos de la empresa en materia de seguridad del sistema de informacioacuten
Estos objetivos se engloban en cuatro grupos
bull Identificar
bull Relacionar
bull Proporcionar
bull Detectar
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 14
Alcance de la Poliacutetica de Seguridad
bullNecesidades de seguridad
bullRiesgos que amenazan el sistema
bull Impactos ante un ataque ndashevaluarlos-Identificar
bullMedidas de seguridad para afrontar riesgos de activos o grupos de activosRelacionar
bullPerspectiva general de las reglas y procedimientos para afrontar riesgos identificados en los diferentes departamentosProporcionar
bullVulnerabilidades del sistema de informacioacuten
bullControlar los fallos producidosDetectar
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 15
Anaacutelisis de Riesgo
Estrategias de Recuperacioacuten
Desarrollo de las Estrategias
Desarrollo de los Procedimientos
Pruebas y Entrenamiento
Plan de Mantenimiento
Consecuencia de la Poliacutetica de Seguridad
bull La definicioacuten del plan de contingencias es uno de los resultados y parte de la poliacutetica de seguridad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 16
Esta norma define una poliacutetica de autorizacioacuten geneacuterica la cual puede formularse de la siguiente forma
ldquoLa informacioacuten no puede darse ni puede permitirse el acceso a ella ni se puede permitir que sea inferida ni se puede utilizar ninguacuten recurso por parte de personas o entidades que no estaacuten autorizadas de forma apropiadardquo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 17
bull Determinacioacuten del acceso y uso de los recursos en base a las identidades de los usuarios y recursos
Poliacuteticas Basadas en Identidad
bull El acceso a los recursos se controla a traveacutes de reglas globales impuestas a todos los usuarios por ejemplo utilizando etiquetas de seguridad
Poliacuteticas Basadas en Reglas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 18
bull Autenticacioacuten tanto de entidades como de origen
bull Control de acceso
bull Confidencialidad de los datos
bull Integridad de los datos
bull No repudio
Define cinco categoriacuteas principales de servicios
de seguridad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 19
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 20
Propietariosvaloran
Quieren minimizar
Salvaguardasdefinen
Pueden tener conciencia de
Amenazasexplotan
VulnerabilidadesPermiten o facilitan
Dantildeo
RECURSOSQue pueden tener
Reducen
RIESGO
Fecha __ __ __
Componente Supervisioacuten
Formulario nuacutemero 6 - Mapeo de Riesgos resultado de la evaluacioacuten de Efectividad Eficiencia y Cumplimiento de los Controles
Fecha ________
Entidad evaluada _____________ Proceso _____________________________________Sub Proceso_______________________________________Etapa sub proceso________________________
Elaborado por____________________________________Aprobado Por_________________________________ Pag __ de __
8 500
3 300
0
3
6
9
12
0 3 6 9 12
PR
OB
AB
ILID
AD
IMPACTO
MAPA DE RIESGOS
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 21
Responsabilidad de la Gerencia
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 22
Seguridad Informaacutetica ISOIEC 27001
ldquoLa seguridad informaacutetica consiste en la implantacioacuten de un conjunto de medidas teacutecnicas destinadas a preservar la confidencialidad la integridad y la disponibilidad de la informacioacuten pudiendo ademaacutes abarcar otras propiedades como la autenticidad la responsabilidad la fiabilidad y el no repudiordquo
Es la definicioacuten ofrecida por el estaacutendar para la seguridad de la informacioacuten ISOIEC 27001 aprobado y publicado en octubre de 2005 por la International Organization for Standardization (ISO) y por la comisioacuten International Electrotechnical Commission (IEC)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 23
Estructura Organizacional
Poliacutetica de Seguridad
Organizacioacuten de la Seguridad de la Informacioacuten
Gestioacuten de Activos Control de Acceso
Cumplimiento Conformidad Informacioacuten de gestioacuten de incidentes de seguridad
Seguridad de los recursos humanos
Gestioacuten de continuidad del negocio
Sistemas de Informacioacuten de adquisicioacuten desarrollo y mantenimiento
Comunicacioacuten y gestioacuten de operaciones
Seguridad fiacutesica y ambiental
Los 11 dominios de la ISOIEC 27001bull Poliacutetica de Seguridadbull Organizacioacuten de la seguridad de la
informacioacutenbull Gestioacuten de Activosbull Seguridad de los recursos humanosbull Seguridad fiacutesica y ambientalbull Comunicacioacuten y gestioacuten de
operacionesbull Control de accesobull Sistemas de informacioacuten de
adquisicioacuten desarrollo y mantenimiento
bull Informacioacuten de gestioacuten de incidentes de seguridad
bull Gestioacuten de continuidad del negociobull Cumplimiento Conformidad
Gerencia
Operaciones
Leyenda
Aspectos Gerenciales
Aspectos Teacutecnicos
Aspectos Fiacutesicos
Riesgos Amenazas
VulnerabilidadesGestioacuten de Riesgos en TI
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 25
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 26
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 27
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
DE ATAQUES INTERNOS PARA DANtildeAR DATOS O SISTEMAS FRAUDES ERRORES EN EL MANEJO DE
SISTEMAS
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 28
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 29
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 30
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 31
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Seguridad Informaacutetica a Nivel de Usuarios
bull Los usuarios se acostumbran a usar la tecnologiacutea sin saber como funciona o de los riesgos que pueden correr
bull Son el punto de entrada de muchos de los problemas croacutenicos
bull Son ldquoEl eslaboacuten maacutes deacutebilrdquo en la cadena de seguridad
Usuarios comunes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 32
Seguridad Informaacutetica a Nivel de Usuarios
bull Principio del MENOR PRIVILEGIO POSIBLE
bull EDUCAR AL USUARIO
Dos enfoques para
controlarlos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 33
Seguridad Informaacutetica a Nivel de Usuarios
Principio del MENOR PRIVILEGIO POSIBLE Implica seguridad de
acceso al sistema (usuario password perfiles de usuario de
manera transaccional ndash seguridad por posicioacuten workflow)
bull Reducir la capacidad de accioacuten del usuario sobre los sistemas
bull Objetivo Lograr el menor dantildeo posible en caso de incidentes
Administracioacuten de privilegios
bull Usuarios uacutenicos e intransferibles
bull Procesos de desactivacioacuten de cuentas y activacioacuten del reemplazo (en periacuteodos vacacionales y de reposos)
bull Administracioacuten de claves de acceso
bull Alfanumeacutericas + caracteres especiales + mayuacutesculas minuacutesculas
bull Caducidad
bull Bloqueo por intentos fallidos
bull Prohibicioacuten de palabras y datos de uso comuacuten o asociadas al usuario
bull Reseteo de clave de forma automaacutetica con preguntas de desafiacuteo (pe usando datos encriptados que solo el usuario conoce como fecha de ingreso a la empresa)
bull Perfil de usuario
bull De acuerdo a la actividad y delegacioacuten de autoridad de acuerdo a su posicioacuten y responsabilidades
bull Esquemas de proteccioacuten de datos e informacioacuten (Privado Confidencial y Estrictamente Privado y Confidencial) seguacuten la posicioacuten y actividades (previendo delincuencia comuacuten o DDOO)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 34
Seguridad Informaacutetica a Nivel de Usuarios
EDUCAR AL USUARIO
bull Documentar y publicar todas las normas y procedimientos asociados
bull Generar una cultura de seguridad El usuario ayuda a reforzar y aplicar los mecanismos de seguridad
bull Objetivo Reducir el nuacutemero de incidentes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 35
Adicionales a los que ya
se mostroacute para
usuarios comunes se
debe
bull Seguridad de acceso a las instalaciones (aacuterea de desarrollo y aacuterea de servidores o main frame)
bull Poliacutetica de respaldo de informacioacuten y programas que incluyan backups in situ outside a modo copia espejo e incremental (solo variaciones)
bull Poliacuteticas de sustraccioacuten de datos incluyendo el uso de CDROM y Pendrivers (Wikiliks)
bull Crear ambientes de desarrollo de software aislados de los ambientes de produccioacuten (operaciones de la empresa) y de prueba Crear ambientes de prueba con participacioacuten funcional
bull Crear protocolos de procesos de cambio (implantacioacuten de sistemas actualizacioacuten de software incluidos los sistemas operativos) que incluyan respaldo total de programas y datos a modo espejo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 36
Seguridad Informaacutetica a Nivel de Usuarios
Vulnerabilidad
bull En un sistema informaacutetico lo que queremos proteger son sus activos es decir los recursos que forman parte del sistema y que podemos agrupar enbull - Hardware - Software
bull - Datos - Otros
bull Los mas criacuteticos son los datos el hardware y el software Es decir los datos que estaacuten almacenados en el hardware y que son procesados por las aplicaciones software
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 37
Vulnerabilidad
bull Es la debilidad de cualquier tipo que compromete la seguridad del sistema informaacutetico
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 38
Disentildeobull Debilidad en el disentildeo de protocolos utilizados en las redes
bull Poliacuteticas de seguridad deficientes e inexistentes
Implementacioacuten
bull Errores de programacioacuten
bull Existencia de ldquopuertas traserasrdquo en los sistemas informaacuteticos
bull Descuido de los fabricantes
Uso
bull Mala configuracioacuten de los sistemas informaacuteticos
bull Desconocimiento y falta de sensibilizacioacuten de los usuarios y de los responsables de informaacutetica
bull Disponibilidad de herramientas que facilitan los ataques
bull Limitacioacuten gubernamental de tecnologiacuteas de seguridad
Vulnerabilidades conocidas
bull Firewall
bull Antivirus
bull Malware
bull Antispy
bull Protocolos de encriptacioacuten
bull Firmas digitales
bull Monitoreo de redes (Comunity Manager)
Consisten en ataques
intercepciones de datos y enviacuteo de
informacioacuten usurpando identidad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 39
Vulnerabilidades
bull Ataques contra el flujo de la informacioacuten FLUJO NORMAL
Los mensajes en una red se enviacutean a partir de un emisor a uno o varios receptores
El atacante es un tercer elemento en la realidad existen millones de elementos atacantesintencionales o accidentales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 40
Emisor Receptor
Atacante
bull INTERRUPCIONbull El mensaje no puede llegar a su destino un recurso del sistema es destruido o
temporalmente inutilizado
bull Este es un ataque contra la Disponibilidad
bull Ejemplos Destruccioacuten de una pieza de hardware cortar los medios de comunicacioacuten o deshabilitar los sistemas de administracioacuten de archivos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 41
Vulnerabilidades
Emisor
Atacante
Receptor
Vulnerabilidades
bull INTERCEPCIONbull Una persona computadora o programa sin autorizacioacuten logra el acceso a un
recurso controlado
bull Es un ataque contra la Confidencialidad
bull Ejemplos Escuchas electroacutenicos copias iliacutecitas de programas o datos escalamiento de privilegios
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 42
Emisor
Atacante
Receptor
Vulnerabilidades
bull MODIFICACIONbull La persona sin autorizacioacuten ademaacutes de lograr el acceso modifica el mensaje
bull Este es un ataque contra la Integridad
bull Ejemplos Alterar la informacioacuten que se transmite desde una base de datos modificar los mensajes entre programas para que se comporten diferente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 43
bull FABRICACIONbull Una persona sin autorizacioacuten inserta objetos falsos en el sistemabull Es un ataque contra la Autenticidadbull Ejemplos Suplantacioacuten de identidades robo de sesiones robo de contrasentildeas
robo de direcciones IP etcbull Es muy difiacutecil estar seguro de quieacuten esta al otro lado de la liacutenea
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 44
Vulnerabilidades
Emisor
Atacante
Receptor
iquestQuienes Atacan los Sistemas
Gobiernos Extranjeros
Espiacuteas industriales o poliacuteticos
Criminales
Empleados descontentos y abusos internos
Adolescentes sin nada que hacer
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 45
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 46
Estado del ataque Ejemplo de Acciones
1-Buacutesqueda de Ingreso Correr un scanner de puertos
2-Penetracioacuten Explorar un sistema sin parches de seguridad
3-Elevacioacuten de Privilegios Lograr cuenta de Administrador
5-Enmascaramiento Borrado de rastros del ingreso y ataque
4-Ataque en si mismo Robo de datos destruccioacuten del sitio web etc
INTRUSO
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 47
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 48
Actuacioacuten del Criminal
bull Se requieren talentos especiales
bull El fraude ha crecido gracias a la aparicioacuten de las computadoras
Mitos
bull Dinero
bull Satisfaccioacuten (egocentrismo)
bull Ideologiacutea
bull Psicosis
Motivaciones personales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 49
bull Ambiente de trabajo
bull Prestaciones
bull Nivel de confianza interpersonal
bull Eacutetica ambiental
bull Nivel de stress
bull AMBIENTE DE CONTROL INTERNO
Motivaciones ambientales
Ethical Hacking
Es una intrusioacuten eacutetica es la aplicacioacuten de herramientas de intrusioacuten penetracioacuten robo personificacioacuten y negacioacuten de servicio llevado a cabo por hackers eacuteticos es decir personas con la experiencia y conocimiento suficiente para llevar a cabo estas pruebas en nombre de la organizacioacuten es decir de manera legal y prevista para determinar el nivel de seguridad de una red de equipos o servicios (incluido el aspecto de ingenieriacutea social)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 50
Ethical Hacking
bull al conocer el nivel de seguridad que se tiene en nuestra organizacioacuten es mucho maacutes sencillo no simple el tomar medidas que puedan subsanar estas deficienciasiquestPor queacute es
Importante
bull No al usar las armas que el enemigo usa es maacutes factible que podamos determinar el nivel de riesgo y por tanto la respuesta que debemos dar ante un ataque vieacutendolo como analogiacutea meacutedica es como cuando nos vacunan pues nos inoculan una versioacuten del virus del cual nos quieren hacer inmunes
iquestNo es contraproducente
bull Al contratar un servicio o realizarlo de manera interna estamos confiando en la eacutetica profesional de quien evaluacutea por lo que siacute siempre llevamos un riesgo pero se establece un contrato de buena fe hacieacutendolo suficientemente fiable (asegurando)iquestEs fiable
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 51
Ejemplos de Criacutemenes Electroacutenicos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 52
Ataque en 1986 de alemanes trabajando para la KGB contra sistemas estrateacutegicos de EEUU (Clifford Stoll Cuckooacutes egg)
El gusano Morris que se propagoacute por internet en 1988
causando un problema de DoS La causa fue la interrupcioacuten
causada por un programa escrito por Robert Tappan Morris
414 Gang enviacutea ataques contra los registros meacutedicos del
hospital para enfermos de caacutencer Sloan-Kettering
Ataques de Kevin Mitnick 1989-1996
Penetracioacuten de la red de Microsoft en octubre de 2000
por un cracker que ganoacute acceso a programas en desarrollo
Esparcimiento del Love Letter difundido por Onel Guzmaacuten en
Filipinas
53
DDoS contra Yahoo Amazon y Zdnet
Muacuteltiples problemas por virus desde
entonces
Target (Robo de informacioacuten de clientes
Identidad y datos financieros)
Juegos del Hambre
Ataque a Sony (Cyberterrorismo) y la
Respuesta con el apagoacuten de internet a
Korea del Norte
Carnabank (Europa oriental europa
occidental EEUU Panamaacute)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
Ejemplos de Criacutemenes Electroacutenicos
Algunas Clases de Ataques
Negacioacuten de Servicio (DoS)
Robo de contrasentildeas
Robo de identidad
Ingenieriacutea social
Defacement
FraudePirateriacutea de
softwareDumpster
divingCoacutedigo
MaliciosoIP spoofing
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 54
Algunas Clases de Ataques
EspionajeDestruccioacuten o alteracioacuten de informacioacuten
Uso de scripts de ataque
desarrolladosPhishing
Ciber -Terrorismo
War DialingWar
DrivingWalkingWar Chalking
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 55
El Caso Carbanak 1MMMUS$
La banda delictiva ciberneacutetica CARBANAK roba mil millones de doacutelares de 100 instituciones financieras en todo el mundo Kaspersky Lab la INTERPOL EUROPOL y autoridades de diferentes paiacuteses han unido sus fuerzas para dejar al descubierto el complot delictivo de un robo ciberneacutetico sin precedentes Hasta mil millones de doacutelares americanos fueron robados en cerca de dos antildeos de instituciones financieras en todo el mundo Los expertos informan que la responsabilidad del robo recae en una banda multinacional de ciberdelincuentesde Rusia Ucrania y otras partes de Europa asiacute como de China
La banda CARBANAK responsable del robo ciberneacutetico utilizoacute teacutecnicas extraiacutedas del arsenal de los ataques selectivos El complot marca el inicio de una nueva etapa en la evolucioacuten de la actividad de delincuencia ciberneacutetica donde usuarios maliciosos roban dinero directamente de los bancos y evitan concentrar sus ataques en los usuarios finales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 56
Comunicado de prensa 160215 - Karpersky
5705062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
MALWARE
El malware es un tipo de software que tiene como objetivo infiltrarse o dantildear un ordenador sistema de informacioacuten sin el consentimiento de su propietario
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 58
POPUP
bull Un pop-up es un tipo de ventana web que aparece delante de la ventana de un navegador al visitar una paacutegina web
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 59
VOLVER
ADWARE
bull Un programa de clase adware es cualquier programa que automaacuteticamente muestra publicidad web al usuario durante su instalacioacuten o durante su uso para generar lucro a sus autores
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 60
SPAM
bull Se llama spam correo basura a los mensajes no solicitados no deseados o de remitente no conocido habitualmente de tipo publicitario generalmente enviados
en grandes cantidades que perjudican al receptor
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 61
Bomba Loacutegica
Son programas informaacuteticos que se instala en un ordenador y permanece oculto hasta cumplirse una o maacutes condiciones preprogramadas para en ese momento ejecutar una accioacuten
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 62
volver
VIRUS DE MACROS
bull Es una secuencia de oacuterdenes de teclado y ratoacuten asignadas a una sola tecla Los virus de macros afectan a archivos y plantillas que los contienen hacieacutendose pasar por una macro y no actuaraacuten hasta que el archivo se abra o utilice
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 63
VOLVER
VIRUS RESIDENTES
bull Se colocan automaacuteticamente en la memoria RAM del ordenador De este modo pueden controlar e interceptar todas las operaciones llevadas a cabo por el sistema operativo infectando todos aquellos ficheros yo programas que sean ejecutados abiertos cerrados renombrados copiados etc
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 64
VIRUS DE ENLACE
bull Modifican las direcciones que permiten a nivel interno acceder a cada uno de los archivos existentes y como consecuencia no es posible localizarlos y trabajar con ellos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 65
VOLVER
VIRUS MUTANTES
bull Son virus que mutan es decir x Debido a estas mutaciones cada generacioacuten de virus es diferente a la versioacuten anterior dificultando asiacute su deteccioacuten y eliminacioacuten
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 66
VIRUS DE BOOT
bull Se activan en el momento en el que se arranca el ordenador desde un disco infectado ya sea desde el disco duro o desde una memoria USB
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 67
VOLVER
VIRUS DE PROGRAMA
bull Comuacutenmente infectan archivos con extensiones EXE COM OVL DRV BIN DLL y SYS
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 68
VOLVER
VIRUS DE SOBREESCRITURA
bull Sobre-escriben en el interior de los archivos atacados haciendo que se pierda el contenido de los mismos
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 69
Ataques de Seguridad
bull Spyware Es un software de computadoraque al instalarse intercepta o toma controlparcial de la interaccioacuten de lacomputadora y el usuario esto sin que elmismo se de cuenta Estos programaspueden recolectar diferentes tipos deinformacioacuten de los usuarios asiacute comoinstalar software adicional sin elconsentimiento de los mismos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 70
71
Herramientas de Seguridad
bull Gusano Es un programa de computadora quepuede replicarse a si mismo utiliza la red paraenviar copias de si mismo a otros nodos y lopuede hacer sin la intervencioacuten del usuario
A diferencia de los ldquovirusrdquo los gusanos nonecesitan estar amarrados a un programa y sufuncioacuten es principalmente dantildear la red (ejdesempentildeo) mientras que los virus dantildeanarchivos en computadoras
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
72
Ataques de Seguridad
bull Caballo de Troya Es una programa que seinstala bajo la creencia de que se estainstalando alguna otra cosa Los troyanosson programas muy utilizados parainstalar programas tipo ldquobackdoorsrdquo quepermiten el acceso no autorizado a lacomputadora atacada un ejemplo deprogramas tipo backdoor son losKeyloogers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
73
Ataques de Seguridad
bull DoS Denial of service- Ataques quehacen indisponible un servicio a losusuarios
bull DDoS Son conocidos como DNSBackbone Distributed Denial ofServices ndash Ataques tienen comoblanco los servidores raiacutez DNS por lotanto afectan uno de los pilares delInternet los nombres de los dominios
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
74
Ataques de Seguridad
bull Footprinting Teacutecnica utilizada para reunir informacioacuten acerca de sistemas computacionales y las entidades a las que pertenece algunos ejemplos son
- Domain queries
- Network queries
- Organizational queries
- TCP scans
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
75
Ataques de Seguridad
bull Fingerprinting Tambieacuten es conocidocomo TCPIP stack fingerprinting y esutilizado para determinar que sistemaoperativo utiliza alguacuten blanco en la redExiste dos tipos de fingerprinting
- Pasivo- Activo
NMAP es una herramienta que utilizafingerprinting activo para mapearpuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
76
Ataques de Seguridad
bull Escaneo de puertos El escaneo depuertos se basa en el FingerprintingActivo es decir transmite y recibesentildeales como ICMP TELNET SNMPdesde un blanco determinado en lared esto con el fin de obtenerinformacioacuten de dicho blanco en estecaso informacioacuten acerca de suspuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
77
Ataques de Seguridad
bull Sniffing Para llevar a cabo el sniffing esnecesario contar con un ldquopacket snifferrdquoque puede ser software instalado en unacomputadora o un dispositivoindependiente (appliance) estedispositivo es utilizado para interceptar yregistrar traacutefico que pasa a traveacutes de unared o de un segmento de la misma(Puede ser de una red ethernet owireless)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
78
Ataques de Seguridad
bull Spoofing Los ataques tipo spoofing sonaquellos en los que una persona oprograma logra hacerse pasar por otrafalsificando informacioacuten o utilizando laingenieriacutea algunos ataques tipo spoofingson los siguientes
- Falsificacioacuten de direccioacuten de email
- Falsificacioacuten de ID de llamadas telefoacutenicas
- Falsificacioacuten de sitios de internet (phishing)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
79
Ataques de Seguridad
bull Phishing Es el uso de teacutecnicas deingenieriacutea social con la finalidad deadquirir de manera fraudulentainformacioacuten confidencial comonombres de usuarios contrasentildeasinformacioacuten de tarjetas de creacutedito
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
80
Ataques de Seguridad
bull Ingenieriacutea Social Se refiere a unacoleccioacuten de teacutecnicas utilizadas paramanipular a las personas para querealicen alguna accioacuten o divulgueninformacioacuten confidencial
Algunos ingenieros sociales notablesson
- Kevin Mitnik
- Frank Abagnale
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
Ingenieriacutea Social
Es el conjunto de meacutetodos y praacutecticas usados para obtener informacioacuten de usuarios legiacutetimos y con la informacioacuten obtenida lograr acceso a sistemas protegidos siendo esta praacutectica de uso comuacuten entre piratas informaacuteticos y delincuentes computacionales
Coacutemo me afecta Al no validar las referencias o no seguir el protocolo de seguridad adecuado para divulgar contrasentildeas o cualquier otra informacioacuten sensible podemos ser coacutemplices de un crimen Meacutexico ha acordado con organismos internacionales la homologacioacuten yo adecuacioacuten de coacutedigos penales para que estos delitos sean perseguidos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 81
Ingenieriacutea Social
Coacutemo puedo saber si estoy siendo viacutectima de un ingeniero social Muy simple cuando alguien nos pide alguacuten tipo de informacioacuten privilegiada y esta persona es insistente cuando le requerimos seguir un protocolo para validar su intencioacuten es altamente probable que estemos siendo viacutectimas de un intento de robo de informacioacuten por un ingeniero socialhacker
Coacutemo puedo evitarlo Sencillo si no confiamos en la persona que nos solicita los datos (supongamos un teacutecnico de soporte de nuestro lugar de trabajo) podemos pedirle que nos deje sus datos y comunicarnos con el 10 minutos despueacutes de validar que la peticioacuten es legiacutetima es decir soacutelo sigamos los protocolos que existen en el trabajo y crear los propios en casa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 82
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra los Sistemas que Utilizan Tecnologiacuteas de Informacioacuten
bull Artiacuteculo 6 Acceso indebido
bull Artiacuteculo 7 Sabotaje o dantildeo a sistemas
bull Artiacuteculo 8 Favorecimiento culposo del sabotaje o dantildeo
bull Artiacuteculo 9 Acceso indebido o sabotaje a sistemas protegidos
bull Artiacuteculo 10 Posesioacuten de equipos o prestacioacuten de servicios de sabotaje
bull Artiacuteculo 11 Espionaje informaacutetico
bull Artiacuteculo 12 Falsificacioacuten de documentos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 83
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Propiedad
bull Artiacuteculo 13 Hurto
bull Artiacuteculo 14 Fraude
bull Artiacuteculo 15 Obtencioacuten indebida de bienes o servicios
bull Artiacuteculo 16 Manejo fraudulento de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 17 Apropiacioacuten de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 18 Provisioacuten indebida de bienes o servicios
bull Artiacuteculo 19 Posesioacuten de equipo para falsificaciones
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 84
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Privacidad de las Personas y de las Comunicaciones
bullArtiacuteculo 20 Violacioacuten de la privacidad de la data o informacioacuten de caraacutecter personal
bullArtiacuteculo 21 Violacioacuten de la privacidad de las comunicaciones
bullArtiacuteculo 22 Revelacioacuten indebida de data o informacioacuten de caraacutecter personal
De los Delitos Contra Nintildeos Nintildeas o Adolescentes
bullArtiacuteculo 23 Difusioacuten o exhibicioacuten de material pornograacutefico
bullArtiacuteculo 24 Exhibicioacuten pornograacutefica de nintildeos o adolescentes
De los Delitos Contra el Orden Econoacutemico
bullArtiacuteculo 25 Apropiacioacuten de propiedad intelectual
bullArtiacuteculo 26 Oferta engantildeosa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 85
Plan de Contingencia Continuidad Operacional
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 86
Plan de Contingencia
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 87
ldquoConjunto de Normas y Procedimientos documentadosy comunicados que tienen por objetivo minimizar los riesgos informaacuteticos mas probablesrdquo
InvolucrabullUso de herramientas
bullCumplimiento de Tareas por
parte de personas
Plan de Contingencia
Consta de tres subplanes independientes
bull Plan de Respaldo crear y conservar en un lugar seguro copias de seguridad de la informacioacuten
bull Pla de Emergencia queacute medidas tomar cuando se estaacute materializando una amenaza o cuando acaba de producirse
bull Plan de Recuperacioacuten medidas que se aplicaran cuando se ha producido un desastre El objetivo es evaluar el impacto y regresar lo antes posible
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 88
Plan de Contingencia
En la elaboracioacuten de este plan no se puede dejar por fuera a los miembros de la organizacioacuten el cual debe estar informado y entrenado para actuar en las funciones que le hayan sido encomendadas en caso de producirse una amenaza o impacto
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 89
Continuidad Operacional
Business Continuity Planning (Plan de Continuidad de negocios)
bull Plan Baacutesico
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Coldsite)
bull Plan Intermedio
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan Alto
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan de respuesta y continuidad de negocios alternativo (sin asistencia de sistemas)
bull Stress Testing al Plan
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 90
El Stress Testing
bull Poner a prueba el planbull Revise y evalueacute
bull Respaldosbull Oportunidad integridad y funcionalidadbull Custodia y transporte
bull Cold y Hotsitebull Funcionalidad accesibilidad y compatibilidadbull Actualizacioacuten oportuna (hotsite)
bull Personalbull Roles y funcionesbull Accesibilidad (contactos y comunicaciones)
bull Simulacioacuten de cataacutestrofesbull Sin previo aviso el director encargado del BCP se presenta en el centro de computo
cronometro en mano y baja la cuchilla de electricidad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 91
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de Lehman Brothers
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el WorldTrade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehman se desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del World Trade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehman teniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 92
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de LehmanBrothers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 93
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el World Trade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehmanse desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 94
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del WorldTrade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehmanteniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 95
La Contingencia Manual la Uacuteltima Frontera
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 96
05062015 97
DATOS BAacuteSICOS
Responsable A Nivel Corporativo Responsable(s) A Nivel Regional
PROVEEDOR (ES)
Origen Responsable Insumo (s)
RESULTADOS
Normas y Procedimientos Asociados Fecha uacuteltima revisioacuten Sistemas Aplicaciones Asociadas
Proceso
CALIFICACIOacuteN DE CONTROLES DE ENTRADA
Actividad
RECOMENDACIONES
Procesamiento
Automaacutetico (A)Manual (M)
Frecuencia
Adiestramiento Proceso Sistema N y P Otros
Negocio Area Localidad
Responsable
Nombre CargoNombre Cargo
NOMBRE
ELABORADO POR
CARGO FIRMA
Calidad de Data (B) Buena (R) Regular (M) Mala Oportunidad (AT) A Tiempo (R) Retrasada Revisioacuten Aprobacioacuten (S) Si (N) NoLEYENDA
Calificacioacuten (F) Fuerte (M) Medio (B) Bajo
DescripcioacutenResponsableDescripcioacuten
Tarea
Descripcioacuten
FRECUENCIA DE LA TAREA Diaria (D) Semanal (S) Mensual (M) Trimestral (T) Anual (A) Ocasional (O)
Soportes Recepcioacuten (P) Papel (E) Electroacutenico Archivo (S) Si (N) No Soportes Enviacuteo (S) Si (N) No Backup (S) Si (N) No
Producto (s) Cliente ReceptorControl
de salida
SoportesFrecuencia
Recepcioacuten Backup
DOCUMENTOS SISTEMAS ASOCIADOS A LOS CONTROLES
CALIFICACIOacuteN DE CONTROLES (por parte del Cliente Receptor)
Revisioacuten
Aprobacioacuten
Revisioacuten
AprobacioacutenTipo de control
Procesamiento
Automaacutetico (A)Manual (M)
Control
De EntradaTipo de control
Soportes
Recepcioacuten Archivo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 98
DATOS BAacuteSICOS
TareaActividad
Proceso Responsable del Proceso
Fecha de Elaboracioacuten 2015
Accioacuten (es) Responsable (s)
OBSERVACIONES ELABORADO POR
FIRMA
NOMBRE
Plan de recuperacioacuten y Reactivacioacuten de Finanzas
Recomendaciones Acciones
La Cadena de Valor de una Organizacioacuten de Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 99
ASESORAR EN CONTROLES DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR DELEGACIONES FINANCIERAS
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
CONTROLAR SEGURIDAD SISTEMA
OPERACIONALES ADMINISTRATIVOS Y OTROS
SISTEMAS FINANCIEROS
DESARROLLAR CONTROLES
DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR Y DESARROLLAR PLAN INTEGRAL DE CONTROL ( PIC )
Asesorar en controles de procesos normas y
Procedimientos
Administrar delegaciones financieras
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
Controlar seguridad sistema
operacionales administrativos y otros
sistemas financieros
Desarrollar
controles de
procesos
normas y
procedimientos
Administrar y desarrollar plan integral de control ( PIC )
Seguridad Informaacutetica Definicioacuten
bull Caracteriacutestica que indica que un sistema estaacute libre de todo peligro dantildeo o riesgo (Villaloacuten)
bull Es el conjunto de recursos utilizados para obtener la maacutexima fiabilidad de un sistema informaacutetico
bull Gerencialmente se puede percibir como el conjunto de medidas teacutecnicas organizativas y legales que permite a la organizacioacuten asegurar la confidencialidad integridad y disponibilidad de su sistema de informacioacuten
Seguridad Informaacutetica
bull iquestQueacute se protegebull El Hardware de caiacutedas o subidas de tensioacuten sabotajes etc
bull El Software de Malware (virus troyanos gusanos spyware cookies adware rootkit hijackers sniffers hoax etc)
bull Los datos son la parte maacutes sensible de un sistema informaacutetico el hardware se reemplaza el software se reinstala pero si no tenemos copia de seguridad actualizadahellip
ldquoLA SEGURIDAD DE SISTEMAS ES UN CAMINO NO UN DESTINOrdquo
Objetivo mantener los sistemas generando
resultados
Si los sistemas no se encuentran funcionando
entonces su costo se convierte en perdidas financieras (en el
menos grave de los casos)
El resultado generado por un sistema es la INFORMACIONque ALMACENA O PRODUCE
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 6
La seguridad informaacutetica NO es un
problema exclusivamente de las
computadoras
Las computadoras y las redes son el principal
campo de batalla
Se debe proteger aquello que tenga un
valor para alguien
Paradigmas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 7
Modelo de Gestioacuten
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 8
Activos Amenazas
Impactos Vulnerabilidades
Riesgos
Funcioacuten
Correctiva
Reduce
Funcioacuten
Preventiva
Reduce
Seguridad de Informacioacuten Modelo PDCA
bull PLANIFICAR (Plan) consiste en establecer el contexto en el se crean las poliacuteticas de seguridad se hace el anaacutelisis de riesgos se hace la seleccioacuten de controles y el estado de aplicabilidad
bull HACER (Do) consiste en implementar el sistema de gestioacuten de seguridad de la informacioacuten implementar el plan de riesgos e implementar los controles
bull VERIFICAR (Check) consiste en monitorear las actividades y hacer auditoriacuteas internas
bull ACTUAR (Act) consiste en ejecutar tareas de mantenimiento propuestas de mejora acciones preventivas y acciones correctivas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 9
Seguridad de Informacioacuten Modelo PDCA
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 10
bull Compromiso de la Direccioacutenbull Planificacioacutenbull Fechasbull Responsables
bull Definir alcance del SGSIbull Definir Poliacutetica de Seguridadbull Metodologiacutea de evaluacioacuten de riesgosbull Inventario de activosbull Identificar amenazas y vulnerabilidadesbull Identificar impactosbull Anaacutelisis y evaluacioacuten de riesgosbull Selccioacuten de controles
bull Definir plan de tratamiento de riesgos
bull Implantar plan de tratamiento de riesgos
bull Implementar los controlesbull Formacioacuten y concienciacioacutenbull Operar el SGSI
bull Implementar mejorasbullAcciones correctivasbullAcciones preventivasbullComprobar eficacia de las acciones
bull Revisar el SGSIbull Medir eficacia de los controlesbull Revisar riesgos residualesbull Realizar auditoriacuteas internas del
SGSIbull Registrar acciones y eventos
iquestQueacute es la seguridad informaacutetica
Poliacuteticas procedimientos y teacutecnicas para asegurar la integridad disponibilidad y confiabilidad de datos y sistemas
Prevenir y detectar amenazas Responder de una forma adecuada y con prontitud ante un incidente
Proteger y Mantener los sistemas funcionando
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 11
iquestQueacute se debe garantizar
bull Confidencialidad Se garantiza que la informacioacuten es accesible soacutelo a aquellas personas autorizadas a tener acceso a la misma
bull Integridad Se salvaguarda la exactitud y totalidad de la informacioacuten y los meacutetodos de procesamiento
bull Disponibilidad Se garantiza que los usuarios autorizados tienen acceso a la informacioacuten y a los recursos relacionados con la misma toda vez que se requiera
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 12
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 13
iquestQueacute es una poliacutetica de seguridad
Una directriz que contendraacute los objetivos de la empresa en materia de seguridad del sistema de informacioacuten
Estos objetivos se engloban en cuatro grupos
bull Identificar
bull Relacionar
bull Proporcionar
bull Detectar
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 14
Alcance de la Poliacutetica de Seguridad
bullNecesidades de seguridad
bullRiesgos que amenazan el sistema
bull Impactos ante un ataque ndashevaluarlos-Identificar
bullMedidas de seguridad para afrontar riesgos de activos o grupos de activosRelacionar
bullPerspectiva general de las reglas y procedimientos para afrontar riesgos identificados en los diferentes departamentosProporcionar
bullVulnerabilidades del sistema de informacioacuten
bullControlar los fallos producidosDetectar
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 15
Anaacutelisis de Riesgo
Estrategias de Recuperacioacuten
Desarrollo de las Estrategias
Desarrollo de los Procedimientos
Pruebas y Entrenamiento
Plan de Mantenimiento
Consecuencia de la Poliacutetica de Seguridad
bull La definicioacuten del plan de contingencias es uno de los resultados y parte de la poliacutetica de seguridad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 16
Esta norma define una poliacutetica de autorizacioacuten geneacuterica la cual puede formularse de la siguiente forma
ldquoLa informacioacuten no puede darse ni puede permitirse el acceso a ella ni se puede permitir que sea inferida ni se puede utilizar ninguacuten recurso por parte de personas o entidades que no estaacuten autorizadas de forma apropiadardquo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 17
bull Determinacioacuten del acceso y uso de los recursos en base a las identidades de los usuarios y recursos
Poliacuteticas Basadas en Identidad
bull El acceso a los recursos se controla a traveacutes de reglas globales impuestas a todos los usuarios por ejemplo utilizando etiquetas de seguridad
Poliacuteticas Basadas en Reglas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 18
bull Autenticacioacuten tanto de entidades como de origen
bull Control de acceso
bull Confidencialidad de los datos
bull Integridad de los datos
bull No repudio
Define cinco categoriacuteas principales de servicios
de seguridad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 19
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 20
Propietariosvaloran
Quieren minimizar
Salvaguardasdefinen
Pueden tener conciencia de
Amenazasexplotan
VulnerabilidadesPermiten o facilitan
Dantildeo
RECURSOSQue pueden tener
Reducen
RIESGO
Fecha __ __ __
Componente Supervisioacuten
Formulario nuacutemero 6 - Mapeo de Riesgos resultado de la evaluacioacuten de Efectividad Eficiencia y Cumplimiento de los Controles
Fecha ________
Entidad evaluada _____________ Proceso _____________________________________Sub Proceso_______________________________________Etapa sub proceso________________________
Elaborado por____________________________________Aprobado Por_________________________________ Pag __ de __
8 500
3 300
0
3
6
9
12
0 3 6 9 12
PR
OB
AB
ILID
AD
IMPACTO
MAPA DE RIESGOS
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 21
Responsabilidad de la Gerencia
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 22
Seguridad Informaacutetica ISOIEC 27001
ldquoLa seguridad informaacutetica consiste en la implantacioacuten de un conjunto de medidas teacutecnicas destinadas a preservar la confidencialidad la integridad y la disponibilidad de la informacioacuten pudiendo ademaacutes abarcar otras propiedades como la autenticidad la responsabilidad la fiabilidad y el no repudiordquo
Es la definicioacuten ofrecida por el estaacutendar para la seguridad de la informacioacuten ISOIEC 27001 aprobado y publicado en octubre de 2005 por la International Organization for Standardization (ISO) y por la comisioacuten International Electrotechnical Commission (IEC)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 23
Estructura Organizacional
Poliacutetica de Seguridad
Organizacioacuten de la Seguridad de la Informacioacuten
Gestioacuten de Activos Control de Acceso
Cumplimiento Conformidad Informacioacuten de gestioacuten de incidentes de seguridad
Seguridad de los recursos humanos
Gestioacuten de continuidad del negocio
Sistemas de Informacioacuten de adquisicioacuten desarrollo y mantenimiento
Comunicacioacuten y gestioacuten de operaciones
Seguridad fiacutesica y ambiental
Los 11 dominios de la ISOIEC 27001bull Poliacutetica de Seguridadbull Organizacioacuten de la seguridad de la
informacioacutenbull Gestioacuten de Activosbull Seguridad de los recursos humanosbull Seguridad fiacutesica y ambientalbull Comunicacioacuten y gestioacuten de
operacionesbull Control de accesobull Sistemas de informacioacuten de
adquisicioacuten desarrollo y mantenimiento
bull Informacioacuten de gestioacuten de incidentes de seguridad
bull Gestioacuten de continuidad del negociobull Cumplimiento Conformidad
Gerencia
Operaciones
Leyenda
Aspectos Gerenciales
Aspectos Teacutecnicos
Aspectos Fiacutesicos
Riesgos Amenazas
VulnerabilidadesGestioacuten de Riesgos en TI
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 25
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 26
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 27
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
DE ATAQUES INTERNOS PARA DANtildeAR DATOS O SISTEMAS FRAUDES ERRORES EN EL MANEJO DE
SISTEMAS
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 28
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 29
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 30
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 31
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Seguridad Informaacutetica a Nivel de Usuarios
bull Los usuarios se acostumbran a usar la tecnologiacutea sin saber como funciona o de los riesgos que pueden correr
bull Son el punto de entrada de muchos de los problemas croacutenicos
bull Son ldquoEl eslaboacuten maacutes deacutebilrdquo en la cadena de seguridad
Usuarios comunes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 32
Seguridad Informaacutetica a Nivel de Usuarios
bull Principio del MENOR PRIVILEGIO POSIBLE
bull EDUCAR AL USUARIO
Dos enfoques para
controlarlos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 33
Seguridad Informaacutetica a Nivel de Usuarios
Principio del MENOR PRIVILEGIO POSIBLE Implica seguridad de
acceso al sistema (usuario password perfiles de usuario de
manera transaccional ndash seguridad por posicioacuten workflow)
bull Reducir la capacidad de accioacuten del usuario sobre los sistemas
bull Objetivo Lograr el menor dantildeo posible en caso de incidentes
Administracioacuten de privilegios
bull Usuarios uacutenicos e intransferibles
bull Procesos de desactivacioacuten de cuentas y activacioacuten del reemplazo (en periacuteodos vacacionales y de reposos)
bull Administracioacuten de claves de acceso
bull Alfanumeacutericas + caracteres especiales + mayuacutesculas minuacutesculas
bull Caducidad
bull Bloqueo por intentos fallidos
bull Prohibicioacuten de palabras y datos de uso comuacuten o asociadas al usuario
bull Reseteo de clave de forma automaacutetica con preguntas de desafiacuteo (pe usando datos encriptados que solo el usuario conoce como fecha de ingreso a la empresa)
bull Perfil de usuario
bull De acuerdo a la actividad y delegacioacuten de autoridad de acuerdo a su posicioacuten y responsabilidades
bull Esquemas de proteccioacuten de datos e informacioacuten (Privado Confidencial y Estrictamente Privado y Confidencial) seguacuten la posicioacuten y actividades (previendo delincuencia comuacuten o DDOO)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 34
Seguridad Informaacutetica a Nivel de Usuarios
EDUCAR AL USUARIO
bull Documentar y publicar todas las normas y procedimientos asociados
bull Generar una cultura de seguridad El usuario ayuda a reforzar y aplicar los mecanismos de seguridad
bull Objetivo Reducir el nuacutemero de incidentes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 35
Adicionales a los que ya
se mostroacute para
usuarios comunes se
debe
bull Seguridad de acceso a las instalaciones (aacuterea de desarrollo y aacuterea de servidores o main frame)
bull Poliacutetica de respaldo de informacioacuten y programas que incluyan backups in situ outside a modo copia espejo e incremental (solo variaciones)
bull Poliacuteticas de sustraccioacuten de datos incluyendo el uso de CDROM y Pendrivers (Wikiliks)
bull Crear ambientes de desarrollo de software aislados de los ambientes de produccioacuten (operaciones de la empresa) y de prueba Crear ambientes de prueba con participacioacuten funcional
bull Crear protocolos de procesos de cambio (implantacioacuten de sistemas actualizacioacuten de software incluidos los sistemas operativos) que incluyan respaldo total de programas y datos a modo espejo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 36
Seguridad Informaacutetica a Nivel de Usuarios
Vulnerabilidad
bull En un sistema informaacutetico lo que queremos proteger son sus activos es decir los recursos que forman parte del sistema y que podemos agrupar enbull - Hardware - Software
bull - Datos - Otros
bull Los mas criacuteticos son los datos el hardware y el software Es decir los datos que estaacuten almacenados en el hardware y que son procesados por las aplicaciones software
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 37
Vulnerabilidad
bull Es la debilidad de cualquier tipo que compromete la seguridad del sistema informaacutetico
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 38
Disentildeobull Debilidad en el disentildeo de protocolos utilizados en las redes
bull Poliacuteticas de seguridad deficientes e inexistentes
Implementacioacuten
bull Errores de programacioacuten
bull Existencia de ldquopuertas traserasrdquo en los sistemas informaacuteticos
bull Descuido de los fabricantes
Uso
bull Mala configuracioacuten de los sistemas informaacuteticos
bull Desconocimiento y falta de sensibilizacioacuten de los usuarios y de los responsables de informaacutetica
bull Disponibilidad de herramientas que facilitan los ataques
bull Limitacioacuten gubernamental de tecnologiacuteas de seguridad
Vulnerabilidades conocidas
bull Firewall
bull Antivirus
bull Malware
bull Antispy
bull Protocolos de encriptacioacuten
bull Firmas digitales
bull Monitoreo de redes (Comunity Manager)
Consisten en ataques
intercepciones de datos y enviacuteo de
informacioacuten usurpando identidad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 39
Vulnerabilidades
bull Ataques contra el flujo de la informacioacuten FLUJO NORMAL
Los mensajes en una red se enviacutean a partir de un emisor a uno o varios receptores
El atacante es un tercer elemento en la realidad existen millones de elementos atacantesintencionales o accidentales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 40
Emisor Receptor
Atacante
bull INTERRUPCIONbull El mensaje no puede llegar a su destino un recurso del sistema es destruido o
temporalmente inutilizado
bull Este es un ataque contra la Disponibilidad
bull Ejemplos Destruccioacuten de una pieza de hardware cortar los medios de comunicacioacuten o deshabilitar los sistemas de administracioacuten de archivos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 41
Vulnerabilidades
Emisor
Atacante
Receptor
Vulnerabilidades
bull INTERCEPCIONbull Una persona computadora o programa sin autorizacioacuten logra el acceso a un
recurso controlado
bull Es un ataque contra la Confidencialidad
bull Ejemplos Escuchas electroacutenicos copias iliacutecitas de programas o datos escalamiento de privilegios
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 42
Emisor
Atacante
Receptor
Vulnerabilidades
bull MODIFICACIONbull La persona sin autorizacioacuten ademaacutes de lograr el acceso modifica el mensaje
bull Este es un ataque contra la Integridad
bull Ejemplos Alterar la informacioacuten que se transmite desde una base de datos modificar los mensajes entre programas para que se comporten diferente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 43
bull FABRICACIONbull Una persona sin autorizacioacuten inserta objetos falsos en el sistemabull Es un ataque contra la Autenticidadbull Ejemplos Suplantacioacuten de identidades robo de sesiones robo de contrasentildeas
robo de direcciones IP etcbull Es muy difiacutecil estar seguro de quieacuten esta al otro lado de la liacutenea
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 44
Vulnerabilidades
Emisor
Atacante
Receptor
iquestQuienes Atacan los Sistemas
Gobiernos Extranjeros
Espiacuteas industriales o poliacuteticos
Criminales
Empleados descontentos y abusos internos
Adolescentes sin nada que hacer
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 45
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 46
Estado del ataque Ejemplo de Acciones
1-Buacutesqueda de Ingreso Correr un scanner de puertos
2-Penetracioacuten Explorar un sistema sin parches de seguridad
3-Elevacioacuten de Privilegios Lograr cuenta de Administrador
5-Enmascaramiento Borrado de rastros del ingreso y ataque
4-Ataque en si mismo Robo de datos destruccioacuten del sitio web etc
INTRUSO
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 47
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 48
Actuacioacuten del Criminal
bull Se requieren talentos especiales
bull El fraude ha crecido gracias a la aparicioacuten de las computadoras
Mitos
bull Dinero
bull Satisfaccioacuten (egocentrismo)
bull Ideologiacutea
bull Psicosis
Motivaciones personales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 49
bull Ambiente de trabajo
bull Prestaciones
bull Nivel de confianza interpersonal
bull Eacutetica ambiental
bull Nivel de stress
bull AMBIENTE DE CONTROL INTERNO
Motivaciones ambientales
Ethical Hacking
Es una intrusioacuten eacutetica es la aplicacioacuten de herramientas de intrusioacuten penetracioacuten robo personificacioacuten y negacioacuten de servicio llevado a cabo por hackers eacuteticos es decir personas con la experiencia y conocimiento suficiente para llevar a cabo estas pruebas en nombre de la organizacioacuten es decir de manera legal y prevista para determinar el nivel de seguridad de una red de equipos o servicios (incluido el aspecto de ingenieriacutea social)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 50
Ethical Hacking
bull al conocer el nivel de seguridad que se tiene en nuestra organizacioacuten es mucho maacutes sencillo no simple el tomar medidas que puedan subsanar estas deficienciasiquestPor queacute es
Importante
bull No al usar las armas que el enemigo usa es maacutes factible que podamos determinar el nivel de riesgo y por tanto la respuesta que debemos dar ante un ataque vieacutendolo como analogiacutea meacutedica es como cuando nos vacunan pues nos inoculan una versioacuten del virus del cual nos quieren hacer inmunes
iquestNo es contraproducente
bull Al contratar un servicio o realizarlo de manera interna estamos confiando en la eacutetica profesional de quien evaluacutea por lo que siacute siempre llevamos un riesgo pero se establece un contrato de buena fe hacieacutendolo suficientemente fiable (asegurando)iquestEs fiable
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 51
Ejemplos de Criacutemenes Electroacutenicos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 52
Ataque en 1986 de alemanes trabajando para la KGB contra sistemas estrateacutegicos de EEUU (Clifford Stoll Cuckooacutes egg)
El gusano Morris que se propagoacute por internet en 1988
causando un problema de DoS La causa fue la interrupcioacuten
causada por un programa escrito por Robert Tappan Morris
414 Gang enviacutea ataques contra los registros meacutedicos del
hospital para enfermos de caacutencer Sloan-Kettering
Ataques de Kevin Mitnick 1989-1996
Penetracioacuten de la red de Microsoft en octubre de 2000
por un cracker que ganoacute acceso a programas en desarrollo
Esparcimiento del Love Letter difundido por Onel Guzmaacuten en
Filipinas
53
DDoS contra Yahoo Amazon y Zdnet
Muacuteltiples problemas por virus desde
entonces
Target (Robo de informacioacuten de clientes
Identidad y datos financieros)
Juegos del Hambre
Ataque a Sony (Cyberterrorismo) y la
Respuesta con el apagoacuten de internet a
Korea del Norte
Carnabank (Europa oriental europa
occidental EEUU Panamaacute)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
Ejemplos de Criacutemenes Electroacutenicos
Algunas Clases de Ataques
Negacioacuten de Servicio (DoS)
Robo de contrasentildeas
Robo de identidad
Ingenieriacutea social
Defacement
FraudePirateriacutea de
softwareDumpster
divingCoacutedigo
MaliciosoIP spoofing
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 54
Algunas Clases de Ataques
EspionajeDestruccioacuten o alteracioacuten de informacioacuten
Uso de scripts de ataque
desarrolladosPhishing
Ciber -Terrorismo
War DialingWar
DrivingWalkingWar Chalking
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 55
El Caso Carbanak 1MMMUS$
La banda delictiva ciberneacutetica CARBANAK roba mil millones de doacutelares de 100 instituciones financieras en todo el mundo Kaspersky Lab la INTERPOL EUROPOL y autoridades de diferentes paiacuteses han unido sus fuerzas para dejar al descubierto el complot delictivo de un robo ciberneacutetico sin precedentes Hasta mil millones de doacutelares americanos fueron robados en cerca de dos antildeos de instituciones financieras en todo el mundo Los expertos informan que la responsabilidad del robo recae en una banda multinacional de ciberdelincuentesde Rusia Ucrania y otras partes de Europa asiacute como de China
La banda CARBANAK responsable del robo ciberneacutetico utilizoacute teacutecnicas extraiacutedas del arsenal de los ataques selectivos El complot marca el inicio de una nueva etapa en la evolucioacuten de la actividad de delincuencia ciberneacutetica donde usuarios maliciosos roban dinero directamente de los bancos y evitan concentrar sus ataques en los usuarios finales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 56
Comunicado de prensa 160215 - Karpersky
5705062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
MALWARE
El malware es un tipo de software que tiene como objetivo infiltrarse o dantildear un ordenador sistema de informacioacuten sin el consentimiento de su propietario
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 58
POPUP
bull Un pop-up es un tipo de ventana web que aparece delante de la ventana de un navegador al visitar una paacutegina web
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 59
VOLVER
ADWARE
bull Un programa de clase adware es cualquier programa que automaacuteticamente muestra publicidad web al usuario durante su instalacioacuten o durante su uso para generar lucro a sus autores
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 60
SPAM
bull Se llama spam correo basura a los mensajes no solicitados no deseados o de remitente no conocido habitualmente de tipo publicitario generalmente enviados
en grandes cantidades que perjudican al receptor
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 61
Bomba Loacutegica
Son programas informaacuteticos que se instala en un ordenador y permanece oculto hasta cumplirse una o maacutes condiciones preprogramadas para en ese momento ejecutar una accioacuten
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 62
volver
VIRUS DE MACROS
bull Es una secuencia de oacuterdenes de teclado y ratoacuten asignadas a una sola tecla Los virus de macros afectan a archivos y plantillas que los contienen hacieacutendose pasar por una macro y no actuaraacuten hasta que el archivo se abra o utilice
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 63
VOLVER
VIRUS RESIDENTES
bull Se colocan automaacuteticamente en la memoria RAM del ordenador De este modo pueden controlar e interceptar todas las operaciones llevadas a cabo por el sistema operativo infectando todos aquellos ficheros yo programas que sean ejecutados abiertos cerrados renombrados copiados etc
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 64
VIRUS DE ENLACE
bull Modifican las direcciones que permiten a nivel interno acceder a cada uno de los archivos existentes y como consecuencia no es posible localizarlos y trabajar con ellos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 65
VOLVER
VIRUS MUTANTES
bull Son virus que mutan es decir x Debido a estas mutaciones cada generacioacuten de virus es diferente a la versioacuten anterior dificultando asiacute su deteccioacuten y eliminacioacuten
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 66
VIRUS DE BOOT
bull Se activan en el momento en el que se arranca el ordenador desde un disco infectado ya sea desde el disco duro o desde una memoria USB
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 67
VOLVER
VIRUS DE PROGRAMA
bull Comuacutenmente infectan archivos con extensiones EXE COM OVL DRV BIN DLL y SYS
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 68
VOLVER
VIRUS DE SOBREESCRITURA
bull Sobre-escriben en el interior de los archivos atacados haciendo que se pierda el contenido de los mismos
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 69
Ataques de Seguridad
bull Spyware Es un software de computadoraque al instalarse intercepta o toma controlparcial de la interaccioacuten de lacomputadora y el usuario esto sin que elmismo se de cuenta Estos programaspueden recolectar diferentes tipos deinformacioacuten de los usuarios asiacute comoinstalar software adicional sin elconsentimiento de los mismos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 70
71
Herramientas de Seguridad
bull Gusano Es un programa de computadora quepuede replicarse a si mismo utiliza la red paraenviar copias de si mismo a otros nodos y lopuede hacer sin la intervencioacuten del usuario
A diferencia de los ldquovirusrdquo los gusanos nonecesitan estar amarrados a un programa y sufuncioacuten es principalmente dantildear la red (ejdesempentildeo) mientras que los virus dantildeanarchivos en computadoras
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
72
Ataques de Seguridad
bull Caballo de Troya Es una programa que seinstala bajo la creencia de que se estainstalando alguna otra cosa Los troyanosson programas muy utilizados parainstalar programas tipo ldquobackdoorsrdquo quepermiten el acceso no autorizado a lacomputadora atacada un ejemplo deprogramas tipo backdoor son losKeyloogers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
73
Ataques de Seguridad
bull DoS Denial of service- Ataques quehacen indisponible un servicio a losusuarios
bull DDoS Son conocidos como DNSBackbone Distributed Denial ofServices ndash Ataques tienen comoblanco los servidores raiacutez DNS por lotanto afectan uno de los pilares delInternet los nombres de los dominios
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
74
Ataques de Seguridad
bull Footprinting Teacutecnica utilizada para reunir informacioacuten acerca de sistemas computacionales y las entidades a las que pertenece algunos ejemplos son
- Domain queries
- Network queries
- Organizational queries
- TCP scans
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
75
Ataques de Seguridad
bull Fingerprinting Tambieacuten es conocidocomo TCPIP stack fingerprinting y esutilizado para determinar que sistemaoperativo utiliza alguacuten blanco en la redExiste dos tipos de fingerprinting
- Pasivo- Activo
NMAP es una herramienta que utilizafingerprinting activo para mapearpuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
76
Ataques de Seguridad
bull Escaneo de puertos El escaneo depuertos se basa en el FingerprintingActivo es decir transmite y recibesentildeales como ICMP TELNET SNMPdesde un blanco determinado en lared esto con el fin de obtenerinformacioacuten de dicho blanco en estecaso informacioacuten acerca de suspuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
77
Ataques de Seguridad
bull Sniffing Para llevar a cabo el sniffing esnecesario contar con un ldquopacket snifferrdquoque puede ser software instalado en unacomputadora o un dispositivoindependiente (appliance) estedispositivo es utilizado para interceptar yregistrar traacutefico que pasa a traveacutes de unared o de un segmento de la misma(Puede ser de una red ethernet owireless)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
78
Ataques de Seguridad
bull Spoofing Los ataques tipo spoofing sonaquellos en los que una persona oprograma logra hacerse pasar por otrafalsificando informacioacuten o utilizando laingenieriacutea algunos ataques tipo spoofingson los siguientes
- Falsificacioacuten de direccioacuten de email
- Falsificacioacuten de ID de llamadas telefoacutenicas
- Falsificacioacuten de sitios de internet (phishing)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
79
Ataques de Seguridad
bull Phishing Es el uso de teacutecnicas deingenieriacutea social con la finalidad deadquirir de manera fraudulentainformacioacuten confidencial comonombres de usuarios contrasentildeasinformacioacuten de tarjetas de creacutedito
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
80
Ataques de Seguridad
bull Ingenieriacutea Social Se refiere a unacoleccioacuten de teacutecnicas utilizadas paramanipular a las personas para querealicen alguna accioacuten o divulgueninformacioacuten confidencial
Algunos ingenieros sociales notablesson
- Kevin Mitnik
- Frank Abagnale
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
Ingenieriacutea Social
Es el conjunto de meacutetodos y praacutecticas usados para obtener informacioacuten de usuarios legiacutetimos y con la informacioacuten obtenida lograr acceso a sistemas protegidos siendo esta praacutectica de uso comuacuten entre piratas informaacuteticos y delincuentes computacionales
Coacutemo me afecta Al no validar las referencias o no seguir el protocolo de seguridad adecuado para divulgar contrasentildeas o cualquier otra informacioacuten sensible podemos ser coacutemplices de un crimen Meacutexico ha acordado con organismos internacionales la homologacioacuten yo adecuacioacuten de coacutedigos penales para que estos delitos sean perseguidos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 81
Ingenieriacutea Social
Coacutemo puedo saber si estoy siendo viacutectima de un ingeniero social Muy simple cuando alguien nos pide alguacuten tipo de informacioacuten privilegiada y esta persona es insistente cuando le requerimos seguir un protocolo para validar su intencioacuten es altamente probable que estemos siendo viacutectimas de un intento de robo de informacioacuten por un ingeniero socialhacker
Coacutemo puedo evitarlo Sencillo si no confiamos en la persona que nos solicita los datos (supongamos un teacutecnico de soporte de nuestro lugar de trabajo) podemos pedirle que nos deje sus datos y comunicarnos con el 10 minutos despueacutes de validar que la peticioacuten es legiacutetima es decir soacutelo sigamos los protocolos que existen en el trabajo y crear los propios en casa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 82
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra los Sistemas que Utilizan Tecnologiacuteas de Informacioacuten
bull Artiacuteculo 6 Acceso indebido
bull Artiacuteculo 7 Sabotaje o dantildeo a sistemas
bull Artiacuteculo 8 Favorecimiento culposo del sabotaje o dantildeo
bull Artiacuteculo 9 Acceso indebido o sabotaje a sistemas protegidos
bull Artiacuteculo 10 Posesioacuten de equipos o prestacioacuten de servicios de sabotaje
bull Artiacuteculo 11 Espionaje informaacutetico
bull Artiacuteculo 12 Falsificacioacuten de documentos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 83
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Propiedad
bull Artiacuteculo 13 Hurto
bull Artiacuteculo 14 Fraude
bull Artiacuteculo 15 Obtencioacuten indebida de bienes o servicios
bull Artiacuteculo 16 Manejo fraudulento de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 17 Apropiacioacuten de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 18 Provisioacuten indebida de bienes o servicios
bull Artiacuteculo 19 Posesioacuten de equipo para falsificaciones
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 84
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Privacidad de las Personas y de las Comunicaciones
bullArtiacuteculo 20 Violacioacuten de la privacidad de la data o informacioacuten de caraacutecter personal
bullArtiacuteculo 21 Violacioacuten de la privacidad de las comunicaciones
bullArtiacuteculo 22 Revelacioacuten indebida de data o informacioacuten de caraacutecter personal
De los Delitos Contra Nintildeos Nintildeas o Adolescentes
bullArtiacuteculo 23 Difusioacuten o exhibicioacuten de material pornograacutefico
bullArtiacuteculo 24 Exhibicioacuten pornograacutefica de nintildeos o adolescentes
De los Delitos Contra el Orden Econoacutemico
bullArtiacuteculo 25 Apropiacioacuten de propiedad intelectual
bullArtiacuteculo 26 Oferta engantildeosa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 85
Plan de Contingencia Continuidad Operacional
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 86
Plan de Contingencia
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 87
ldquoConjunto de Normas y Procedimientos documentadosy comunicados que tienen por objetivo minimizar los riesgos informaacuteticos mas probablesrdquo
InvolucrabullUso de herramientas
bullCumplimiento de Tareas por
parte de personas
Plan de Contingencia
Consta de tres subplanes independientes
bull Plan de Respaldo crear y conservar en un lugar seguro copias de seguridad de la informacioacuten
bull Pla de Emergencia queacute medidas tomar cuando se estaacute materializando una amenaza o cuando acaba de producirse
bull Plan de Recuperacioacuten medidas que se aplicaran cuando se ha producido un desastre El objetivo es evaluar el impacto y regresar lo antes posible
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 88
Plan de Contingencia
En la elaboracioacuten de este plan no se puede dejar por fuera a los miembros de la organizacioacuten el cual debe estar informado y entrenado para actuar en las funciones que le hayan sido encomendadas en caso de producirse una amenaza o impacto
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 89
Continuidad Operacional
Business Continuity Planning (Plan de Continuidad de negocios)
bull Plan Baacutesico
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Coldsite)
bull Plan Intermedio
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan Alto
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan de respuesta y continuidad de negocios alternativo (sin asistencia de sistemas)
bull Stress Testing al Plan
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 90
El Stress Testing
bull Poner a prueba el planbull Revise y evalueacute
bull Respaldosbull Oportunidad integridad y funcionalidadbull Custodia y transporte
bull Cold y Hotsitebull Funcionalidad accesibilidad y compatibilidadbull Actualizacioacuten oportuna (hotsite)
bull Personalbull Roles y funcionesbull Accesibilidad (contactos y comunicaciones)
bull Simulacioacuten de cataacutestrofesbull Sin previo aviso el director encargado del BCP se presenta en el centro de computo
cronometro en mano y baja la cuchilla de electricidad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 91
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de Lehman Brothers
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el WorldTrade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehman se desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del World Trade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehman teniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 92
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de LehmanBrothers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 93
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el World Trade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehmanse desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 94
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del WorldTrade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehmanteniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 95
La Contingencia Manual la Uacuteltima Frontera
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 96
05062015 97
DATOS BAacuteSICOS
Responsable A Nivel Corporativo Responsable(s) A Nivel Regional
PROVEEDOR (ES)
Origen Responsable Insumo (s)
RESULTADOS
Normas y Procedimientos Asociados Fecha uacuteltima revisioacuten Sistemas Aplicaciones Asociadas
Proceso
CALIFICACIOacuteN DE CONTROLES DE ENTRADA
Actividad
RECOMENDACIONES
Procesamiento
Automaacutetico (A)Manual (M)
Frecuencia
Adiestramiento Proceso Sistema N y P Otros
Negocio Area Localidad
Responsable
Nombre CargoNombre Cargo
NOMBRE
ELABORADO POR
CARGO FIRMA
Calidad de Data (B) Buena (R) Regular (M) Mala Oportunidad (AT) A Tiempo (R) Retrasada Revisioacuten Aprobacioacuten (S) Si (N) NoLEYENDA
Calificacioacuten (F) Fuerte (M) Medio (B) Bajo
DescripcioacutenResponsableDescripcioacuten
Tarea
Descripcioacuten
FRECUENCIA DE LA TAREA Diaria (D) Semanal (S) Mensual (M) Trimestral (T) Anual (A) Ocasional (O)
Soportes Recepcioacuten (P) Papel (E) Electroacutenico Archivo (S) Si (N) No Soportes Enviacuteo (S) Si (N) No Backup (S) Si (N) No
Producto (s) Cliente ReceptorControl
de salida
SoportesFrecuencia
Recepcioacuten Backup
DOCUMENTOS SISTEMAS ASOCIADOS A LOS CONTROLES
CALIFICACIOacuteN DE CONTROLES (por parte del Cliente Receptor)
Revisioacuten
Aprobacioacuten
Revisioacuten
AprobacioacutenTipo de control
Procesamiento
Automaacutetico (A)Manual (M)
Control
De EntradaTipo de control
Soportes
Recepcioacuten Archivo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 98
DATOS BAacuteSICOS
TareaActividad
Proceso Responsable del Proceso
Fecha de Elaboracioacuten 2015
Accioacuten (es) Responsable (s)
OBSERVACIONES ELABORADO POR
FIRMA
NOMBRE
Plan de recuperacioacuten y Reactivacioacuten de Finanzas
Recomendaciones Acciones
La Cadena de Valor de una Organizacioacuten de Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 99
ASESORAR EN CONTROLES DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR DELEGACIONES FINANCIERAS
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
CONTROLAR SEGURIDAD SISTEMA
OPERACIONALES ADMINISTRATIVOS Y OTROS
SISTEMAS FINANCIEROS
DESARROLLAR CONTROLES
DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR Y DESARROLLAR PLAN INTEGRAL DE CONTROL ( PIC )
Asesorar en controles de procesos normas y
Procedimientos
Administrar delegaciones financieras
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
Controlar seguridad sistema
operacionales administrativos y otros
sistemas financieros
Desarrollar
controles de
procesos
normas y
procedimientos
Administrar y desarrollar plan integral de control ( PIC )
Seguridad Informaacutetica
bull iquestQueacute se protegebull El Hardware de caiacutedas o subidas de tensioacuten sabotajes etc
bull El Software de Malware (virus troyanos gusanos spyware cookies adware rootkit hijackers sniffers hoax etc)
bull Los datos son la parte maacutes sensible de un sistema informaacutetico el hardware se reemplaza el software se reinstala pero si no tenemos copia de seguridad actualizadahellip
ldquoLA SEGURIDAD DE SISTEMAS ES UN CAMINO NO UN DESTINOrdquo
Objetivo mantener los sistemas generando
resultados
Si los sistemas no se encuentran funcionando
entonces su costo se convierte en perdidas financieras (en el
menos grave de los casos)
El resultado generado por un sistema es la INFORMACIONque ALMACENA O PRODUCE
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 6
La seguridad informaacutetica NO es un
problema exclusivamente de las
computadoras
Las computadoras y las redes son el principal
campo de batalla
Se debe proteger aquello que tenga un
valor para alguien
Paradigmas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 7
Modelo de Gestioacuten
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 8
Activos Amenazas
Impactos Vulnerabilidades
Riesgos
Funcioacuten
Correctiva
Reduce
Funcioacuten
Preventiva
Reduce
Seguridad de Informacioacuten Modelo PDCA
bull PLANIFICAR (Plan) consiste en establecer el contexto en el se crean las poliacuteticas de seguridad se hace el anaacutelisis de riesgos se hace la seleccioacuten de controles y el estado de aplicabilidad
bull HACER (Do) consiste en implementar el sistema de gestioacuten de seguridad de la informacioacuten implementar el plan de riesgos e implementar los controles
bull VERIFICAR (Check) consiste en monitorear las actividades y hacer auditoriacuteas internas
bull ACTUAR (Act) consiste en ejecutar tareas de mantenimiento propuestas de mejora acciones preventivas y acciones correctivas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 9
Seguridad de Informacioacuten Modelo PDCA
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 10
bull Compromiso de la Direccioacutenbull Planificacioacutenbull Fechasbull Responsables
bull Definir alcance del SGSIbull Definir Poliacutetica de Seguridadbull Metodologiacutea de evaluacioacuten de riesgosbull Inventario de activosbull Identificar amenazas y vulnerabilidadesbull Identificar impactosbull Anaacutelisis y evaluacioacuten de riesgosbull Selccioacuten de controles
bull Definir plan de tratamiento de riesgos
bull Implantar plan de tratamiento de riesgos
bull Implementar los controlesbull Formacioacuten y concienciacioacutenbull Operar el SGSI
bull Implementar mejorasbullAcciones correctivasbullAcciones preventivasbullComprobar eficacia de las acciones
bull Revisar el SGSIbull Medir eficacia de los controlesbull Revisar riesgos residualesbull Realizar auditoriacuteas internas del
SGSIbull Registrar acciones y eventos
iquestQueacute es la seguridad informaacutetica
Poliacuteticas procedimientos y teacutecnicas para asegurar la integridad disponibilidad y confiabilidad de datos y sistemas
Prevenir y detectar amenazas Responder de una forma adecuada y con prontitud ante un incidente
Proteger y Mantener los sistemas funcionando
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 11
iquestQueacute se debe garantizar
bull Confidencialidad Se garantiza que la informacioacuten es accesible soacutelo a aquellas personas autorizadas a tener acceso a la misma
bull Integridad Se salvaguarda la exactitud y totalidad de la informacioacuten y los meacutetodos de procesamiento
bull Disponibilidad Se garantiza que los usuarios autorizados tienen acceso a la informacioacuten y a los recursos relacionados con la misma toda vez que se requiera
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 12
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 13
iquestQueacute es una poliacutetica de seguridad
Una directriz que contendraacute los objetivos de la empresa en materia de seguridad del sistema de informacioacuten
Estos objetivos se engloban en cuatro grupos
bull Identificar
bull Relacionar
bull Proporcionar
bull Detectar
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 14
Alcance de la Poliacutetica de Seguridad
bullNecesidades de seguridad
bullRiesgos que amenazan el sistema
bull Impactos ante un ataque ndashevaluarlos-Identificar
bullMedidas de seguridad para afrontar riesgos de activos o grupos de activosRelacionar
bullPerspectiva general de las reglas y procedimientos para afrontar riesgos identificados en los diferentes departamentosProporcionar
bullVulnerabilidades del sistema de informacioacuten
bullControlar los fallos producidosDetectar
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 15
Anaacutelisis de Riesgo
Estrategias de Recuperacioacuten
Desarrollo de las Estrategias
Desarrollo de los Procedimientos
Pruebas y Entrenamiento
Plan de Mantenimiento
Consecuencia de la Poliacutetica de Seguridad
bull La definicioacuten del plan de contingencias es uno de los resultados y parte de la poliacutetica de seguridad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 16
Esta norma define una poliacutetica de autorizacioacuten geneacuterica la cual puede formularse de la siguiente forma
ldquoLa informacioacuten no puede darse ni puede permitirse el acceso a ella ni se puede permitir que sea inferida ni se puede utilizar ninguacuten recurso por parte de personas o entidades que no estaacuten autorizadas de forma apropiadardquo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 17
bull Determinacioacuten del acceso y uso de los recursos en base a las identidades de los usuarios y recursos
Poliacuteticas Basadas en Identidad
bull El acceso a los recursos se controla a traveacutes de reglas globales impuestas a todos los usuarios por ejemplo utilizando etiquetas de seguridad
Poliacuteticas Basadas en Reglas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 18
bull Autenticacioacuten tanto de entidades como de origen
bull Control de acceso
bull Confidencialidad de los datos
bull Integridad de los datos
bull No repudio
Define cinco categoriacuteas principales de servicios
de seguridad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 19
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 20
Propietariosvaloran
Quieren minimizar
Salvaguardasdefinen
Pueden tener conciencia de
Amenazasexplotan
VulnerabilidadesPermiten o facilitan
Dantildeo
RECURSOSQue pueden tener
Reducen
RIESGO
Fecha __ __ __
Componente Supervisioacuten
Formulario nuacutemero 6 - Mapeo de Riesgos resultado de la evaluacioacuten de Efectividad Eficiencia y Cumplimiento de los Controles
Fecha ________
Entidad evaluada _____________ Proceso _____________________________________Sub Proceso_______________________________________Etapa sub proceso________________________
Elaborado por____________________________________Aprobado Por_________________________________ Pag __ de __
8 500
3 300
0
3
6
9
12
0 3 6 9 12
PR
OB
AB
ILID
AD
IMPACTO
MAPA DE RIESGOS
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 21
Responsabilidad de la Gerencia
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 22
Seguridad Informaacutetica ISOIEC 27001
ldquoLa seguridad informaacutetica consiste en la implantacioacuten de un conjunto de medidas teacutecnicas destinadas a preservar la confidencialidad la integridad y la disponibilidad de la informacioacuten pudiendo ademaacutes abarcar otras propiedades como la autenticidad la responsabilidad la fiabilidad y el no repudiordquo
Es la definicioacuten ofrecida por el estaacutendar para la seguridad de la informacioacuten ISOIEC 27001 aprobado y publicado en octubre de 2005 por la International Organization for Standardization (ISO) y por la comisioacuten International Electrotechnical Commission (IEC)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 23
Estructura Organizacional
Poliacutetica de Seguridad
Organizacioacuten de la Seguridad de la Informacioacuten
Gestioacuten de Activos Control de Acceso
Cumplimiento Conformidad Informacioacuten de gestioacuten de incidentes de seguridad
Seguridad de los recursos humanos
Gestioacuten de continuidad del negocio
Sistemas de Informacioacuten de adquisicioacuten desarrollo y mantenimiento
Comunicacioacuten y gestioacuten de operaciones
Seguridad fiacutesica y ambiental
Los 11 dominios de la ISOIEC 27001bull Poliacutetica de Seguridadbull Organizacioacuten de la seguridad de la
informacioacutenbull Gestioacuten de Activosbull Seguridad de los recursos humanosbull Seguridad fiacutesica y ambientalbull Comunicacioacuten y gestioacuten de
operacionesbull Control de accesobull Sistemas de informacioacuten de
adquisicioacuten desarrollo y mantenimiento
bull Informacioacuten de gestioacuten de incidentes de seguridad
bull Gestioacuten de continuidad del negociobull Cumplimiento Conformidad
Gerencia
Operaciones
Leyenda
Aspectos Gerenciales
Aspectos Teacutecnicos
Aspectos Fiacutesicos
Riesgos Amenazas
VulnerabilidadesGestioacuten de Riesgos en TI
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 25
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 26
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 27
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
DE ATAQUES INTERNOS PARA DANtildeAR DATOS O SISTEMAS FRAUDES ERRORES EN EL MANEJO DE
SISTEMAS
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 28
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 29
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 30
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 31
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Seguridad Informaacutetica a Nivel de Usuarios
bull Los usuarios se acostumbran a usar la tecnologiacutea sin saber como funciona o de los riesgos que pueden correr
bull Son el punto de entrada de muchos de los problemas croacutenicos
bull Son ldquoEl eslaboacuten maacutes deacutebilrdquo en la cadena de seguridad
Usuarios comunes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 32
Seguridad Informaacutetica a Nivel de Usuarios
bull Principio del MENOR PRIVILEGIO POSIBLE
bull EDUCAR AL USUARIO
Dos enfoques para
controlarlos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 33
Seguridad Informaacutetica a Nivel de Usuarios
Principio del MENOR PRIVILEGIO POSIBLE Implica seguridad de
acceso al sistema (usuario password perfiles de usuario de
manera transaccional ndash seguridad por posicioacuten workflow)
bull Reducir la capacidad de accioacuten del usuario sobre los sistemas
bull Objetivo Lograr el menor dantildeo posible en caso de incidentes
Administracioacuten de privilegios
bull Usuarios uacutenicos e intransferibles
bull Procesos de desactivacioacuten de cuentas y activacioacuten del reemplazo (en periacuteodos vacacionales y de reposos)
bull Administracioacuten de claves de acceso
bull Alfanumeacutericas + caracteres especiales + mayuacutesculas minuacutesculas
bull Caducidad
bull Bloqueo por intentos fallidos
bull Prohibicioacuten de palabras y datos de uso comuacuten o asociadas al usuario
bull Reseteo de clave de forma automaacutetica con preguntas de desafiacuteo (pe usando datos encriptados que solo el usuario conoce como fecha de ingreso a la empresa)
bull Perfil de usuario
bull De acuerdo a la actividad y delegacioacuten de autoridad de acuerdo a su posicioacuten y responsabilidades
bull Esquemas de proteccioacuten de datos e informacioacuten (Privado Confidencial y Estrictamente Privado y Confidencial) seguacuten la posicioacuten y actividades (previendo delincuencia comuacuten o DDOO)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 34
Seguridad Informaacutetica a Nivel de Usuarios
EDUCAR AL USUARIO
bull Documentar y publicar todas las normas y procedimientos asociados
bull Generar una cultura de seguridad El usuario ayuda a reforzar y aplicar los mecanismos de seguridad
bull Objetivo Reducir el nuacutemero de incidentes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 35
Adicionales a los que ya
se mostroacute para
usuarios comunes se
debe
bull Seguridad de acceso a las instalaciones (aacuterea de desarrollo y aacuterea de servidores o main frame)
bull Poliacutetica de respaldo de informacioacuten y programas que incluyan backups in situ outside a modo copia espejo e incremental (solo variaciones)
bull Poliacuteticas de sustraccioacuten de datos incluyendo el uso de CDROM y Pendrivers (Wikiliks)
bull Crear ambientes de desarrollo de software aislados de los ambientes de produccioacuten (operaciones de la empresa) y de prueba Crear ambientes de prueba con participacioacuten funcional
bull Crear protocolos de procesos de cambio (implantacioacuten de sistemas actualizacioacuten de software incluidos los sistemas operativos) que incluyan respaldo total de programas y datos a modo espejo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 36
Seguridad Informaacutetica a Nivel de Usuarios
Vulnerabilidad
bull En un sistema informaacutetico lo que queremos proteger son sus activos es decir los recursos que forman parte del sistema y que podemos agrupar enbull - Hardware - Software
bull - Datos - Otros
bull Los mas criacuteticos son los datos el hardware y el software Es decir los datos que estaacuten almacenados en el hardware y que son procesados por las aplicaciones software
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 37
Vulnerabilidad
bull Es la debilidad de cualquier tipo que compromete la seguridad del sistema informaacutetico
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 38
Disentildeobull Debilidad en el disentildeo de protocolos utilizados en las redes
bull Poliacuteticas de seguridad deficientes e inexistentes
Implementacioacuten
bull Errores de programacioacuten
bull Existencia de ldquopuertas traserasrdquo en los sistemas informaacuteticos
bull Descuido de los fabricantes
Uso
bull Mala configuracioacuten de los sistemas informaacuteticos
bull Desconocimiento y falta de sensibilizacioacuten de los usuarios y de los responsables de informaacutetica
bull Disponibilidad de herramientas que facilitan los ataques
bull Limitacioacuten gubernamental de tecnologiacuteas de seguridad
Vulnerabilidades conocidas
bull Firewall
bull Antivirus
bull Malware
bull Antispy
bull Protocolos de encriptacioacuten
bull Firmas digitales
bull Monitoreo de redes (Comunity Manager)
Consisten en ataques
intercepciones de datos y enviacuteo de
informacioacuten usurpando identidad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 39
Vulnerabilidades
bull Ataques contra el flujo de la informacioacuten FLUJO NORMAL
Los mensajes en una red se enviacutean a partir de un emisor a uno o varios receptores
El atacante es un tercer elemento en la realidad existen millones de elementos atacantesintencionales o accidentales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 40
Emisor Receptor
Atacante
bull INTERRUPCIONbull El mensaje no puede llegar a su destino un recurso del sistema es destruido o
temporalmente inutilizado
bull Este es un ataque contra la Disponibilidad
bull Ejemplos Destruccioacuten de una pieza de hardware cortar los medios de comunicacioacuten o deshabilitar los sistemas de administracioacuten de archivos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 41
Vulnerabilidades
Emisor
Atacante
Receptor
Vulnerabilidades
bull INTERCEPCIONbull Una persona computadora o programa sin autorizacioacuten logra el acceso a un
recurso controlado
bull Es un ataque contra la Confidencialidad
bull Ejemplos Escuchas electroacutenicos copias iliacutecitas de programas o datos escalamiento de privilegios
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 42
Emisor
Atacante
Receptor
Vulnerabilidades
bull MODIFICACIONbull La persona sin autorizacioacuten ademaacutes de lograr el acceso modifica el mensaje
bull Este es un ataque contra la Integridad
bull Ejemplos Alterar la informacioacuten que se transmite desde una base de datos modificar los mensajes entre programas para que se comporten diferente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 43
bull FABRICACIONbull Una persona sin autorizacioacuten inserta objetos falsos en el sistemabull Es un ataque contra la Autenticidadbull Ejemplos Suplantacioacuten de identidades robo de sesiones robo de contrasentildeas
robo de direcciones IP etcbull Es muy difiacutecil estar seguro de quieacuten esta al otro lado de la liacutenea
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 44
Vulnerabilidades
Emisor
Atacante
Receptor
iquestQuienes Atacan los Sistemas
Gobiernos Extranjeros
Espiacuteas industriales o poliacuteticos
Criminales
Empleados descontentos y abusos internos
Adolescentes sin nada que hacer
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 45
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 46
Estado del ataque Ejemplo de Acciones
1-Buacutesqueda de Ingreso Correr un scanner de puertos
2-Penetracioacuten Explorar un sistema sin parches de seguridad
3-Elevacioacuten de Privilegios Lograr cuenta de Administrador
5-Enmascaramiento Borrado de rastros del ingreso y ataque
4-Ataque en si mismo Robo de datos destruccioacuten del sitio web etc
INTRUSO
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 47
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 48
Actuacioacuten del Criminal
bull Se requieren talentos especiales
bull El fraude ha crecido gracias a la aparicioacuten de las computadoras
Mitos
bull Dinero
bull Satisfaccioacuten (egocentrismo)
bull Ideologiacutea
bull Psicosis
Motivaciones personales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 49
bull Ambiente de trabajo
bull Prestaciones
bull Nivel de confianza interpersonal
bull Eacutetica ambiental
bull Nivel de stress
bull AMBIENTE DE CONTROL INTERNO
Motivaciones ambientales
Ethical Hacking
Es una intrusioacuten eacutetica es la aplicacioacuten de herramientas de intrusioacuten penetracioacuten robo personificacioacuten y negacioacuten de servicio llevado a cabo por hackers eacuteticos es decir personas con la experiencia y conocimiento suficiente para llevar a cabo estas pruebas en nombre de la organizacioacuten es decir de manera legal y prevista para determinar el nivel de seguridad de una red de equipos o servicios (incluido el aspecto de ingenieriacutea social)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 50
Ethical Hacking
bull al conocer el nivel de seguridad que se tiene en nuestra organizacioacuten es mucho maacutes sencillo no simple el tomar medidas que puedan subsanar estas deficienciasiquestPor queacute es
Importante
bull No al usar las armas que el enemigo usa es maacutes factible que podamos determinar el nivel de riesgo y por tanto la respuesta que debemos dar ante un ataque vieacutendolo como analogiacutea meacutedica es como cuando nos vacunan pues nos inoculan una versioacuten del virus del cual nos quieren hacer inmunes
iquestNo es contraproducente
bull Al contratar un servicio o realizarlo de manera interna estamos confiando en la eacutetica profesional de quien evaluacutea por lo que siacute siempre llevamos un riesgo pero se establece un contrato de buena fe hacieacutendolo suficientemente fiable (asegurando)iquestEs fiable
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 51
Ejemplos de Criacutemenes Electroacutenicos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 52
Ataque en 1986 de alemanes trabajando para la KGB contra sistemas estrateacutegicos de EEUU (Clifford Stoll Cuckooacutes egg)
El gusano Morris que se propagoacute por internet en 1988
causando un problema de DoS La causa fue la interrupcioacuten
causada por un programa escrito por Robert Tappan Morris
414 Gang enviacutea ataques contra los registros meacutedicos del
hospital para enfermos de caacutencer Sloan-Kettering
Ataques de Kevin Mitnick 1989-1996
Penetracioacuten de la red de Microsoft en octubre de 2000
por un cracker que ganoacute acceso a programas en desarrollo
Esparcimiento del Love Letter difundido por Onel Guzmaacuten en
Filipinas
53
DDoS contra Yahoo Amazon y Zdnet
Muacuteltiples problemas por virus desde
entonces
Target (Robo de informacioacuten de clientes
Identidad y datos financieros)
Juegos del Hambre
Ataque a Sony (Cyberterrorismo) y la
Respuesta con el apagoacuten de internet a
Korea del Norte
Carnabank (Europa oriental europa
occidental EEUU Panamaacute)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
Ejemplos de Criacutemenes Electroacutenicos
Algunas Clases de Ataques
Negacioacuten de Servicio (DoS)
Robo de contrasentildeas
Robo de identidad
Ingenieriacutea social
Defacement
FraudePirateriacutea de
softwareDumpster
divingCoacutedigo
MaliciosoIP spoofing
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 54
Algunas Clases de Ataques
EspionajeDestruccioacuten o alteracioacuten de informacioacuten
Uso de scripts de ataque
desarrolladosPhishing
Ciber -Terrorismo
War DialingWar
DrivingWalkingWar Chalking
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 55
El Caso Carbanak 1MMMUS$
La banda delictiva ciberneacutetica CARBANAK roba mil millones de doacutelares de 100 instituciones financieras en todo el mundo Kaspersky Lab la INTERPOL EUROPOL y autoridades de diferentes paiacuteses han unido sus fuerzas para dejar al descubierto el complot delictivo de un robo ciberneacutetico sin precedentes Hasta mil millones de doacutelares americanos fueron robados en cerca de dos antildeos de instituciones financieras en todo el mundo Los expertos informan que la responsabilidad del robo recae en una banda multinacional de ciberdelincuentesde Rusia Ucrania y otras partes de Europa asiacute como de China
La banda CARBANAK responsable del robo ciberneacutetico utilizoacute teacutecnicas extraiacutedas del arsenal de los ataques selectivos El complot marca el inicio de una nueva etapa en la evolucioacuten de la actividad de delincuencia ciberneacutetica donde usuarios maliciosos roban dinero directamente de los bancos y evitan concentrar sus ataques en los usuarios finales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 56
Comunicado de prensa 160215 - Karpersky
5705062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
MALWARE
El malware es un tipo de software que tiene como objetivo infiltrarse o dantildear un ordenador sistema de informacioacuten sin el consentimiento de su propietario
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 58
POPUP
bull Un pop-up es un tipo de ventana web que aparece delante de la ventana de un navegador al visitar una paacutegina web
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 59
VOLVER
ADWARE
bull Un programa de clase adware es cualquier programa que automaacuteticamente muestra publicidad web al usuario durante su instalacioacuten o durante su uso para generar lucro a sus autores
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 60
SPAM
bull Se llama spam correo basura a los mensajes no solicitados no deseados o de remitente no conocido habitualmente de tipo publicitario generalmente enviados
en grandes cantidades que perjudican al receptor
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 61
Bomba Loacutegica
Son programas informaacuteticos que se instala en un ordenador y permanece oculto hasta cumplirse una o maacutes condiciones preprogramadas para en ese momento ejecutar una accioacuten
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 62
volver
VIRUS DE MACROS
bull Es una secuencia de oacuterdenes de teclado y ratoacuten asignadas a una sola tecla Los virus de macros afectan a archivos y plantillas que los contienen hacieacutendose pasar por una macro y no actuaraacuten hasta que el archivo se abra o utilice
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 63
VOLVER
VIRUS RESIDENTES
bull Se colocan automaacuteticamente en la memoria RAM del ordenador De este modo pueden controlar e interceptar todas las operaciones llevadas a cabo por el sistema operativo infectando todos aquellos ficheros yo programas que sean ejecutados abiertos cerrados renombrados copiados etc
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 64
VIRUS DE ENLACE
bull Modifican las direcciones que permiten a nivel interno acceder a cada uno de los archivos existentes y como consecuencia no es posible localizarlos y trabajar con ellos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 65
VOLVER
VIRUS MUTANTES
bull Son virus que mutan es decir x Debido a estas mutaciones cada generacioacuten de virus es diferente a la versioacuten anterior dificultando asiacute su deteccioacuten y eliminacioacuten
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 66
VIRUS DE BOOT
bull Se activan en el momento en el que se arranca el ordenador desde un disco infectado ya sea desde el disco duro o desde una memoria USB
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 67
VOLVER
VIRUS DE PROGRAMA
bull Comuacutenmente infectan archivos con extensiones EXE COM OVL DRV BIN DLL y SYS
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 68
VOLVER
VIRUS DE SOBREESCRITURA
bull Sobre-escriben en el interior de los archivos atacados haciendo que se pierda el contenido de los mismos
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 69
Ataques de Seguridad
bull Spyware Es un software de computadoraque al instalarse intercepta o toma controlparcial de la interaccioacuten de lacomputadora y el usuario esto sin que elmismo se de cuenta Estos programaspueden recolectar diferentes tipos deinformacioacuten de los usuarios asiacute comoinstalar software adicional sin elconsentimiento de los mismos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 70
71
Herramientas de Seguridad
bull Gusano Es un programa de computadora quepuede replicarse a si mismo utiliza la red paraenviar copias de si mismo a otros nodos y lopuede hacer sin la intervencioacuten del usuario
A diferencia de los ldquovirusrdquo los gusanos nonecesitan estar amarrados a un programa y sufuncioacuten es principalmente dantildear la red (ejdesempentildeo) mientras que los virus dantildeanarchivos en computadoras
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
72
Ataques de Seguridad
bull Caballo de Troya Es una programa que seinstala bajo la creencia de que se estainstalando alguna otra cosa Los troyanosson programas muy utilizados parainstalar programas tipo ldquobackdoorsrdquo quepermiten el acceso no autorizado a lacomputadora atacada un ejemplo deprogramas tipo backdoor son losKeyloogers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
73
Ataques de Seguridad
bull DoS Denial of service- Ataques quehacen indisponible un servicio a losusuarios
bull DDoS Son conocidos como DNSBackbone Distributed Denial ofServices ndash Ataques tienen comoblanco los servidores raiacutez DNS por lotanto afectan uno de los pilares delInternet los nombres de los dominios
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
74
Ataques de Seguridad
bull Footprinting Teacutecnica utilizada para reunir informacioacuten acerca de sistemas computacionales y las entidades a las que pertenece algunos ejemplos son
- Domain queries
- Network queries
- Organizational queries
- TCP scans
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
75
Ataques de Seguridad
bull Fingerprinting Tambieacuten es conocidocomo TCPIP stack fingerprinting y esutilizado para determinar que sistemaoperativo utiliza alguacuten blanco en la redExiste dos tipos de fingerprinting
- Pasivo- Activo
NMAP es una herramienta que utilizafingerprinting activo para mapearpuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
76
Ataques de Seguridad
bull Escaneo de puertos El escaneo depuertos se basa en el FingerprintingActivo es decir transmite y recibesentildeales como ICMP TELNET SNMPdesde un blanco determinado en lared esto con el fin de obtenerinformacioacuten de dicho blanco en estecaso informacioacuten acerca de suspuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
77
Ataques de Seguridad
bull Sniffing Para llevar a cabo el sniffing esnecesario contar con un ldquopacket snifferrdquoque puede ser software instalado en unacomputadora o un dispositivoindependiente (appliance) estedispositivo es utilizado para interceptar yregistrar traacutefico que pasa a traveacutes de unared o de un segmento de la misma(Puede ser de una red ethernet owireless)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
78
Ataques de Seguridad
bull Spoofing Los ataques tipo spoofing sonaquellos en los que una persona oprograma logra hacerse pasar por otrafalsificando informacioacuten o utilizando laingenieriacutea algunos ataques tipo spoofingson los siguientes
- Falsificacioacuten de direccioacuten de email
- Falsificacioacuten de ID de llamadas telefoacutenicas
- Falsificacioacuten de sitios de internet (phishing)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
79
Ataques de Seguridad
bull Phishing Es el uso de teacutecnicas deingenieriacutea social con la finalidad deadquirir de manera fraudulentainformacioacuten confidencial comonombres de usuarios contrasentildeasinformacioacuten de tarjetas de creacutedito
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
80
Ataques de Seguridad
bull Ingenieriacutea Social Se refiere a unacoleccioacuten de teacutecnicas utilizadas paramanipular a las personas para querealicen alguna accioacuten o divulgueninformacioacuten confidencial
Algunos ingenieros sociales notablesson
- Kevin Mitnik
- Frank Abagnale
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
Ingenieriacutea Social
Es el conjunto de meacutetodos y praacutecticas usados para obtener informacioacuten de usuarios legiacutetimos y con la informacioacuten obtenida lograr acceso a sistemas protegidos siendo esta praacutectica de uso comuacuten entre piratas informaacuteticos y delincuentes computacionales
Coacutemo me afecta Al no validar las referencias o no seguir el protocolo de seguridad adecuado para divulgar contrasentildeas o cualquier otra informacioacuten sensible podemos ser coacutemplices de un crimen Meacutexico ha acordado con organismos internacionales la homologacioacuten yo adecuacioacuten de coacutedigos penales para que estos delitos sean perseguidos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 81
Ingenieriacutea Social
Coacutemo puedo saber si estoy siendo viacutectima de un ingeniero social Muy simple cuando alguien nos pide alguacuten tipo de informacioacuten privilegiada y esta persona es insistente cuando le requerimos seguir un protocolo para validar su intencioacuten es altamente probable que estemos siendo viacutectimas de un intento de robo de informacioacuten por un ingeniero socialhacker
Coacutemo puedo evitarlo Sencillo si no confiamos en la persona que nos solicita los datos (supongamos un teacutecnico de soporte de nuestro lugar de trabajo) podemos pedirle que nos deje sus datos y comunicarnos con el 10 minutos despueacutes de validar que la peticioacuten es legiacutetima es decir soacutelo sigamos los protocolos que existen en el trabajo y crear los propios en casa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 82
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra los Sistemas que Utilizan Tecnologiacuteas de Informacioacuten
bull Artiacuteculo 6 Acceso indebido
bull Artiacuteculo 7 Sabotaje o dantildeo a sistemas
bull Artiacuteculo 8 Favorecimiento culposo del sabotaje o dantildeo
bull Artiacuteculo 9 Acceso indebido o sabotaje a sistemas protegidos
bull Artiacuteculo 10 Posesioacuten de equipos o prestacioacuten de servicios de sabotaje
bull Artiacuteculo 11 Espionaje informaacutetico
bull Artiacuteculo 12 Falsificacioacuten de documentos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 83
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Propiedad
bull Artiacuteculo 13 Hurto
bull Artiacuteculo 14 Fraude
bull Artiacuteculo 15 Obtencioacuten indebida de bienes o servicios
bull Artiacuteculo 16 Manejo fraudulento de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 17 Apropiacioacuten de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 18 Provisioacuten indebida de bienes o servicios
bull Artiacuteculo 19 Posesioacuten de equipo para falsificaciones
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 84
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Privacidad de las Personas y de las Comunicaciones
bullArtiacuteculo 20 Violacioacuten de la privacidad de la data o informacioacuten de caraacutecter personal
bullArtiacuteculo 21 Violacioacuten de la privacidad de las comunicaciones
bullArtiacuteculo 22 Revelacioacuten indebida de data o informacioacuten de caraacutecter personal
De los Delitos Contra Nintildeos Nintildeas o Adolescentes
bullArtiacuteculo 23 Difusioacuten o exhibicioacuten de material pornograacutefico
bullArtiacuteculo 24 Exhibicioacuten pornograacutefica de nintildeos o adolescentes
De los Delitos Contra el Orden Econoacutemico
bullArtiacuteculo 25 Apropiacioacuten de propiedad intelectual
bullArtiacuteculo 26 Oferta engantildeosa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 85
Plan de Contingencia Continuidad Operacional
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 86
Plan de Contingencia
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 87
ldquoConjunto de Normas y Procedimientos documentadosy comunicados que tienen por objetivo minimizar los riesgos informaacuteticos mas probablesrdquo
InvolucrabullUso de herramientas
bullCumplimiento de Tareas por
parte de personas
Plan de Contingencia
Consta de tres subplanes independientes
bull Plan de Respaldo crear y conservar en un lugar seguro copias de seguridad de la informacioacuten
bull Pla de Emergencia queacute medidas tomar cuando se estaacute materializando una amenaza o cuando acaba de producirse
bull Plan de Recuperacioacuten medidas que se aplicaran cuando se ha producido un desastre El objetivo es evaluar el impacto y regresar lo antes posible
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 88
Plan de Contingencia
En la elaboracioacuten de este plan no se puede dejar por fuera a los miembros de la organizacioacuten el cual debe estar informado y entrenado para actuar en las funciones que le hayan sido encomendadas en caso de producirse una amenaza o impacto
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 89
Continuidad Operacional
Business Continuity Planning (Plan de Continuidad de negocios)
bull Plan Baacutesico
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Coldsite)
bull Plan Intermedio
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan Alto
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan de respuesta y continuidad de negocios alternativo (sin asistencia de sistemas)
bull Stress Testing al Plan
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 90
El Stress Testing
bull Poner a prueba el planbull Revise y evalueacute
bull Respaldosbull Oportunidad integridad y funcionalidadbull Custodia y transporte
bull Cold y Hotsitebull Funcionalidad accesibilidad y compatibilidadbull Actualizacioacuten oportuna (hotsite)
bull Personalbull Roles y funcionesbull Accesibilidad (contactos y comunicaciones)
bull Simulacioacuten de cataacutestrofesbull Sin previo aviso el director encargado del BCP se presenta en el centro de computo
cronometro en mano y baja la cuchilla de electricidad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 91
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de Lehman Brothers
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el WorldTrade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehman se desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del World Trade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehman teniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 92
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de LehmanBrothers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 93
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el World Trade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehmanse desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 94
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del WorldTrade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehmanteniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 95
La Contingencia Manual la Uacuteltima Frontera
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 96
05062015 97
DATOS BAacuteSICOS
Responsable A Nivel Corporativo Responsable(s) A Nivel Regional
PROVEEDOR (ES)
Origen Responsable Insumo (s)
RESULTADOS
Normas y Procedimientos Asociados Fecha uacuteltima revisioacuten Sistemas Aplicaciones Asociadas
Proceso
CALIFICACIOacuteN DE CONTROLES DE ENTRADA
Actividad
RECOMENDACIONES
Procesamiento
Automaacutetico (A)Manual (M)
Frecuencia
Adiestramiento Proceso Sistema N y P Otros
Negocio Area Localidad
Responsable
Nombre CargoNombre Cargo
NOMBRE
ELABORADO POR
CARGO FIRMA
Calidad de Data (B) Buena (R) Regular (M) Mala Oportunidad (AT) A Tiempo (R) Retrasada Revisioacuten Aprobacioacuten (S) Si (N) NoLEYENDA
Calificacioacuten (F) Fuerte (M) Medio (B) Bajo
DescripcioacutenResponsableDescripcioacuten
Tarea
Descripcioacuten
FRECUENCIA DE LA TAREA Diaria (D) Semanal (S) Mensual (M) Trimestral (T) Anual (A) Ocasional (O)
Soportes Recepcioacuten (P) Papel (E) Electroacutenico Archivo (S) Si (N) No Soportes Enviacuteo (S) Si (N) No Backup (S) Si (N) No
Producto (s) Cliente ReceptorControl
de salida
SoportesFrecuencia
Recepcioacuten Backup
DOCUMENTOS SISTEMAS ASOCIADOS A LOS CONTROLES
CALIFICACIOacuteN DE CONTROLES (por parte del Cliente Receptor)
Revisioacuten
Aprobacioacuten
Revisioacuten
AprobacioacutenTipo de control
Procesamiento
Automaacutetico (A)Manual (M)
Control
De EntradaTipo de control
Soportes
Recepcioacuten Archivo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 98
DATOS BAacuteSICOS
TareaActividad
Proceso Responsable del Proceso
Fecha de Elaboracioacuten 2015
Accioacuten (es) Responsable (s)
OBSERVACIONES ELABORADO POR
FIRMA
NOMBRE
Plan de recuperacioacuten y Reactivacioacuten de Finanzas
Recomendaciones Acciones
La Cadena de Valor de una Organizacioacuten de Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 99
ASESORAR EN CONTROLES DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR DELEGACIONES FINANCIERAS
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
CONTROLAR SEGURIDAD SISTEMA
OPERACIONALES ADMINISTRATIVOS Y OTROS
SISTEMAS FINANCIEROS
DESARROLLAR CONTROLES
DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR Y DESARROLLAR PLAN INTEGRAL DE CONTROL ( PIC )
Asesorar en controles de procesos normas y
Procedimientos
Administrar delegaciones financieras
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
Controlar seguridad sistema
operacionales administrativos y otros
sistemas financieros
Desarrollar
controles de
procesos
normas y
procedimientos
Administrar y desarrollar plan integral de control ( PIC )
ldquoLA SEGURIDAD DE SISTEMAS ES UN CAMINO NO UN DESTINOrdquo
Objetivo mantener los sistemas generando
resultados
Si los sistemas no se encuentran funcionando
entonces su costo se convierte en perdidas financieras (en el
menos grave de los casos)
El resultado generado por un sistema es la INFORMACIONque ALMACENA O PRODUCE
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 6
La seguridad informaacutetica NO es un
problema exclusivamente de las
computadoras
Las computadoras y las redes son el principal
campo de batalla
Se debe proteger aquello que tenga un
valor para alguien
Paradigmas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 7
Modelo de Gestioacuten
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 8
Activos Amenazas
Impactos Vulnerabilidades
Riesgos
Funcioacuten
Correctiva
Reduce
Funcioacuten
Preventiva
Reduce
Seguridad de Informacioacuten Modelo PDCA
bull PLANIFICAR (Plan) consiste en establecer el contexto en el se crean las poliacuteticas de seguridad se hace el anaacutelisis de riesgos se hace la seleccioacuten de controles y el estado de aplicabilidad
bull HACER (Do) consiste en implementar el sistema de gestioacuten de seguridad de la informacioacuten implementar el plan de riesgos e implementar los controles
bull VERIFICAR (Check) consiste en monitorear las actividades y hacer auditoriacuteas internas
bull ACTUAR (Act) consiste en ejecutar tareas de mantenimiento propuestas de mejora acciones preventivas y acciones correctivas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 9
Seguridad de Informacioacuten Modelo PDCA
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 10
bull Compromiso de la Direccioacutenbull Planificacioacutenbull Fechasbull Responsables
bull Definir alcance del SGSIbull Definir Poliacutetica de Seguridadbull Metodologiacutea de evaluacioacuten de riesgosbull Inventario de activosbull Identificar amenazas y vulnerabilidadesbull Identificar impactosbull Anaacutelisis y evaluacioacuten de riesgosbull Selccioacuten de controles
bull Definir plan de tratamiento de riesgos
bull Implantar plan de tratamiento de riesgos
bull Implementar los controlesbull Formacioacuten y concienciacioacutenbull Operar el SGSI
bull Implementar mejorasbullAcciones correctivasbullAcciones preventivasbullComprobar eficacia de las acciones
bull Revisar el SGSIbull Medir eficacia de los controlesbull Revisar riesgos residualesbull Realizar auditoriacuteas internas del
SGSIbull Registrar acciones y eventos
iquestQueacute es la seguridad informaacutetica
Poliacuteticas procedimientos y teacutecnicas para asegurar la integridad disponibilidad y confiabilidad de datos y sistemas
Prevenir y detectar amenazas Responder de una forma adecuada y con prontitud ante un incidente
Proteger y Mantener los sistemas funcionando
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 11
iquestQueacute se debe garantizar
bull Confidencialidad Se garantiza que la informacioacuten es accesible soacutelo a aquellas personas autorizadas a tener acceso a la misma
bull Integridad Se salvaguarda la exactitud y totalidad de la informacioacuten y los meacutetodos de procesamiento
bull Disponibilidad Se garantiza que los usuarios autorizados tienen acceso a la informacioacuten y a los recursos relacionados con la misma toda vez que se requiera
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 12
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 13
iquestQueacute es una poliacutetica de seguridad
Una directriz que contendraacute los objetivos de la empresa en materia de seguridad del sistema de informacioacuten
Estos objetivos se engloban en cuatro grupos
bull Identificar
bull Relacionar
bull Proporcionar
bull Detectar
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 14
Alcance de la Poliacutetica de Seguridad
bullNecesidades de seguridad
bullRiesgos que amenazan el sistema
bull Impactos ante un ataque ndashevaluarlos-Identificar
bullMedidas de seguridad para afrontar riesgos de activos o grupos de activosRelacionar
bullPerspectiva general de las reglas y procedimientos para afrontar riesgos identificados en los diferentes departamentosProporcionar
bullVulnerabilidades del sistema de informacioacuten
bullControlar los fallos producidosDetectar
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 15
Anaacutelisis de Riesgo
Estrategias de Recuperacioacuten
Desarrollo de las Estrategias
Desarrollo de los Procedimientos
Pruebas y Entrenamiento
Plan de Mantenimiento
Consecuencia de la Poliacutetica de Seguridad
bull La definicioacuten del plan de contingencias es uno de los resultados y parte de la poliacutetica de seguridad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 16
Esta norma define una poliacutetica de autorizacioacuten geneacuterica la cual puede formularse de la siguiente forma
ldquoLa informacioacuten no puede darse ni puede permitirse el acceso a ella ni se puede permitir que sea inferida ni se puede utilizar ninguacuten recurso por parte de personas o entidades que no estaacuten autorizadas de forma apropiadardquo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 17
bull Determinacioacuten del acceso y uso de los recursos en base a las identidades de los usuarios y recursos
Poliacuteticas Basadas en Identidad
bull El acceso a los recursos se controla a traveacutes de reglas globales impuestas a todos los usuarios por ejemplo utilizando etiquetas de seguridad
Poliacuteticas Basadas en Reglas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 18
bull Autenticacioacuten tanto de entidades como de origen
bull Control de acceso
bull Confidencialidad de los datos
bull Integridad de los datos
bull No repudio
Define cinco categoriacuteas principales de servicios
de seguridad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 19
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 20
Propietariosvaloran
Quieren minimizar
Salvaguardasdefinen
Pueden tener conciencia de
Amenazasexplotan
VulnerabilidadesPermiten o facilitan
Dantildeo
RECURSOSQue pueden tener
Reducen
RIESGO
Fecha __ __ __
Componente Supervisioacuten
Formulario nuacutemero 6 - Mapeo de Riesgos resultado de la evaluacioacuten de Efectividad Eficiencia y Cumplimiento de los Controles
Fecha ________
Entidad evaluada _____________ Proceso _____________________________________Sub Proceso_______________________________________Etapa sub proceso________________________
Elaborado por____________________________________Aprobado Por_________________________________ Pag __ de __
8 500
3 300
0
3
6
9
12
0 3 6 9 12
PR
OB
AB
ILID
AD
IMPACTO
MAPA DE RIESGOS
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 21
Responsabilidad de la Gerencia
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 22
Seguridad Informaacutetica ISOIEC 27001
ldquoLa seguridad informaacutetica consiste en la implantacioacuten de un conjunto de medidas teacutecnicas destinadas a preservar la confidencialidad la integridad y la disponibilidad de la informacioacuten pudiendo ademaacutes abarcar otras propiedades como la autenticidad la responsabilidad la fiabilidad y el no repudiordquo
Es la definicioacuten ofrecida por el estaacutendar para la seguridad de la informacioacuten ISOIEC 27001 aprobado y publicado en octubre de 2005 por la International Organization for Standardization (ISO) y por la comisioacuten International Electrotechnical Commission (IEC)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 23
Estructura Organizacional
Poliacutetica de Seguridad
Organizacioacuten de la Seguridad de la Informacioacuten
Gestioacuten de Activos Control de Acceso
Cumplimiento Conformidad Informacioacuten de gestioacuten de incidentes de seguridad
Seguridad de los recursos humanos
Gestioacuten de continuidad del negocio
Sistemas de Informacioacuten de adquisicioacuten desarrollo y mantenimiento
Comunicacioacuten y gestioacuten de operaciones
Seguridad fiacutesica y ambiental
Los 11 dominios de la ISOIEC 27001bull Poliacutetica de Seguridadbull Organizacioacuten de la seguridad de la
informacioacutenbull Gestioacuten de Activosbull Seguridad de los recursos humanosbull Seguridad fiacutesica y ambientalbull Comunicacioacuten y gestioacuten de
operacionesbull Control de accesobull Sistemas de informacioacuten de
adquisicioacuten desarrollo y mantenimiento
bull Informacioacuten de gestioacuten de incidentes de seguridad
bull Gestioacuten de continuidad del negociobull Cumplimiento Conformidad
Gerencia
Operaciones
Leyenda
Aspectos Gerenciales
Aspectos Teacutecnicos
Aspectos Fiacutesicos
Riesgos Amenazas
VulnerabilidadesGestioacuten de Riesgos en TI
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 25
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 26
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 27
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
DE ATAQUES INTERNOS PARA DANtildeAR DATOS O SISTEMAS FRAUDES ERRORES EN EL MANEJO DE
SISTEMAS
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 28
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 29
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 30
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 31
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Seguridad Informaacutetica a Nivel de Usuarios
bull Los usuarios se acostumbran a usar la tecnologiacutea sin saber como funciona o de los riesgos que pueden correr
bull Son el punto de entrada de muchos de los problemas croacutenicos
bull Son ldquoEl eslaboacuten maacutes deacutebilrdquo en la cadena de seguridad
Usuarios comunes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 32
Seguridad Informaacutetica a Nivel de Usuarios
bull Principio del MENOR PRIVILEGIO POSIBLE
bull EDUCAR AL USUARIO
Dos enfoques para
controlarlos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 33
Seguridad Informaacutetica a Nivel de Usuarios
Principio del MENOR PRIVILEGIO POSIBLE Implica seguridad de
acceso al sistema (usuario password perfiles de usuario de
manera transaccional ndash seguridad por posicioacuten workflow)
bull Reducir la capacidad de accioacuten del usuario sobre los sistemas
bull Objetivo Lograr el menor dantildeo posible en caso de incidentes
Administracioacuten de privilegios
bull Usuarios uacutenicos e intransferibles
bull Procesos de desactivacioacuten de cuentas y activacioacuten del reemplazo (en periacuteodos vacacionales y de reposos)
bull Administracioacuten de claves de acceso
bull Alfanumeacutericas + caracteres especiales + mayuacutesculas minuacutesculas
bull Caducidad
bull Bloqueo por intentos fallidos
bull Prohibicioacuten de palabras y datos de uso comuacuten o asociadas al usuario
bull Reseteo de clave de forma automaacutetica con preguntas de desafiacuteo (pe usando datos encriptados que solo el usuario conoce como fecha de ingreso a la empresa)
bull Perfil de usuario
bull De acuerdo a la actividad y delegacioacuten de autoridad de acuerdo a su posicioacuten y responsabilidades
bull Esquemas de proteccioacuten de datos e informacioacuten (Privado Confidencial y Estrictamente Privado y Confidencial) seguacuten la posicioacuten y actividades (previendo delincuencia comuacuten o DDOO)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 34
Seguridad Informaacutetica a Nivel de Usuarios
EDUCAR AL USUARIO
bull Documentar y publicar todas las normas y procedimientos asociados
bull Generar una cultura de seguridad El usuario ayuda a reforzar y aplicar los mecanismos de seguridad
bull Objetivo Reducir el nuacutemero de incidentes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 35
Adicionales a los que ya
se mostroacute para
usuarios comunes se
debe
bull Seguridad de acceso a las instalaciones (aacuterea de desarrollo y aacuterea de servidores o main frame)
bull Poliacutetica de respaldo de informacioacuten y programas que incluyan backups in situ outside a modo copia espejo e incremental (solo variaciones)
bull Poliacuteticas de sustraccioacuten de datos incluyendo el uso de CDROM y Pendrivers (Wikiliks)
bull Crear ambientes de desarrollo de software aislados de los ambientes de produccioacuten (operaciones de la empresa) y de prueba Crear ambientes de prueba con participacioacuten funcional
bull Crear protocolos de procesos de cambio (implantacioacuten de sistemas actualizacioacuten de software incluidos los sistemas operativos) que incluyan respaldo total de programas y datos a modo espejo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 36
Seguridad Informaacutetica a Nivel de Usuarios
Vulnerabilidad
bull En un sistema informaacutetico lo que queremos proteger son sus activos es decir los recursos que forman parte del sistema y que podemos agrupar enbull - Hardware - Software
bull - Datos - Otros
bull Los mas criacuteticos son los datos el hardware y el software Es decir los datos que estaacuten almacenados en el hardware y que son procesados por las aplicaciones software
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 37
Vulnerabilidad
bull Es la debilidad de cualquier tipo que compromete la seguridad del sistema informaacutetico
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 38
Disentildeobull Debilidad en el disentildeo de protocolos utilizados en las redes
bull Poliacuteticas de seguridad deficientes e inexistentes
Implementacioacuten
bull Errores de programacioacuten
bull Existencia de ldquopuertas traserasrdquo en los sistemas informaacuteticos
bull Descuido de los fabricantes
Uso
bull Mala configuracioacuten de los sistemas informaacuteticos
bull Desconocimiento y falta de sensibilizacioacuten de los usuarios y de los responsables de informaacutetica
bull Disponibilidad de herramientas que facilitan los ataques
bull Limitacioacuten gubernamental de tecnologiacuteas de seguridad
Vulnerabilidades conocidas
bull Firewall
bull Antivirus
bull Malware
bull Antispy
bull Protocolos de encriptacioacuten
bull Firmas digitales
bull Monitoreo de redes (Comunity Manager)
Consisten en ataques
intercepciones de datos y enviacuteo de
informacioacuten usurpando identidad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 39
Vulnerabilidades
bull Ataques contra el flujo de la informacioacuten FLUJO NORMAL
Los mensajes en una red se enviacutean a partir de un emisor a uno o varios receptores
El atacante es un tercer elemento en la realidad existen millones de elementos atacantesintencionales o accidentales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 40
Emisor Receptor
Atacante
bull INTERRUPCIONbull El mensaje no puede llegar a su destino un recurso del sistema es destruido o
temporalmente inutilizado
bull Este es un ataque contra la Disponibilidad
bull Ejemplos Destruccioacuten de una pieza de hardware cortar los medios de comunicacioacuten o deshabilitar los sistemas de administracioacuten de archivos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 41
Vulnerabilidades
Emisor
Atacante
Receptor
Vulnerabilidades
bull INTERCEPCIONbull Una persona computadora o programa sin autorizacioacuten logra el acceso a un
recurso controlado
bull Es un ataque contra la Confidencialidad
bull Ejemplos Escuchas electroacutenicos copias iliacutecitas de programas o datos escalamiento de privilegios
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 42
Emisor
Atacante
Receptor
Vulnerabilidades
bull MODIFICACIONbull La persona sin autorizacioacuten ademaacutes de lograr el acceso modifica el mensaje
bull Este es un ataque contra la Integridad
bull Ejemplos Alterar la informacioacuten que se transmite desde una base de datos modificar los mensajes entre programas para que se comporten diferente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 43
bull FABRICACIONbull Una persona sin autorizacioacuten inserta objetos falsos en el sistemabull Es un ataque contra la Autenticidadbull Ejemplos Suplantacioacuten de identidades robo de sesiones robo de contrasentildeas
robo de direcciones IP etcbull Es muy difiacutecil estar seguro de quieacuten esta al otro lado de la liacutenea
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 44
Vulnerabilidades
Emisor
Atacante
Receptor
iquestQuienes Atacan los Sistemas
Gobiernos Extranjeros
Espiacuteas industriales o poliacuteticos
Criminales
Empleados descontentos y abusos internos
Adolescentes sin nada que hacer
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 45
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 46
Estado del ataque Ejemplo de Acciones
1-Buacutesqueda de Ingreso Correr un scanner de puertos
2-Penetracioacuten Explorar un sistema sin parches de seguridad
3-Elevacioacuten de Privilegios Lograr cuenta de Administrador
5-Enmascaramiento Borrado de rastros del ingreso y ataque
4-Ataque en si mismo Robo de datos destruccioacuten del sitio web etc
INTRUSO
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 47
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 48
Actuacioacuten del Criminal
bull Se requieren talentos especiales
bull El fraude ha crecido gracias a la aparicioacuten de las computadoras
Mitos
bull Dinero
bull Satisfaccioacuten (egocentrismo)
bull Ideologiacutea
bull Psicosis
Motivaciones personales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 49
bull Ambiente de trabajo
bull Prestaciones
bull Nivel de confianza interpersonal
bull Eacutetica ambiental
bull Nivel de stress
bull AMBIENTE DE CONTROL INTERNO
Motivaciones ambientales
Ethical Hacking
Es una intrusioacuten eacutetica es la aplicacioacuten de herramientas de intrusioacuten penetracioacuten robo personificacioacuten y negacioacuten de servicio llevado a cabo por hackers eacuteticos es decir personas con la experiencia y conocimiento suficiente para llevar a cabo estas pruebas en nombre de la organizacioacuten es decir de manera legal y prevista para determinar el nivel de seguridad de una red de equipos o servicios (incluido el aspecto de ingenieriacutea social)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 50
Ethical Hacking
bull al conocer el nivel de seguridad que se tiene en nuestra organizacioacuten es mucho maacutes sencillo no simple el tomar medidas que puedan subsanar estas deficienciasiquestPor queacute es
Importante
bull No al usar las armas que el enemigo usa es maacutes factible que podamos determinar el nivel de riesgo y por tanto la respuesta que debemos dar ante un ataque vieacutendolo como analogiacutea meacutedica es como cuando nos vacunan pues nos inoculan una versioacuten del virus del cual nos quieren hacer inmunes
iquestNo es contraproducente
bull Al contratar un servicio o realizarlo de manera interna estamos confiando en la eacutetica profesional de quien evaluacutea por lo que siacute siempre llevamos un riesgo pero se establece un contrato de buena fe hacieacutendolo suficientemente fiable (asegurando)iquestEs fiable
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 51
Ejemplos de Criacutemenes Electroacutenicos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 52
Ataque en 1986 de alemanes trabajando para la KGB contra sistemas estrateacutegicos de EEUU (Clifford Stoll Cuckooacutes egg)
El gusano Morris que se propagoacute por internet en 1988
causando un problema de DoS La causa fue la interrupcioacuten
causada por un programa escrito por Robert Tappan Morris
414 Gang enviacutea ataques contra los registros meacutedicos del
hospital para enfermos de caacutencer Sloan-Kettering
Ataques de Kevin Mitnick 1989-1996
Penetracioacuten de la red de Microsoft en octubre de 2000
por un cracker que ganoacute acceso a programas en desarrollo
Esparcimiento del Love Letter difundido por Onel Guzmaacuten en
Filipinas
53
DDoS contra Yahoo Amazon y Zdnet
Muacuteltiples problemas por virus desde
entonces
Target (Robo de informacioacuten de clientes
Identidad y datos financieros)
Juegos del Hambre
Ataque a Sony (Cyberterrorismo) y la
Respuesta con el apagoacuten de internet a
Korea del Norte
Carnabank (Europa oriental europa
occidental EEUU Panamaacute)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
Ejemplos de Criacutemenes Electroacutenicos
Algunas Clases de Ataques
Negacioacuten de Servicio (DoS)
Robo de contrasentildeas
Robo de identidad
Ingenieriacutea social
Defacement
FraudePirateriacutea de
softwareDumpster
divingCoacutedigo
MaliciosoIP spoofing
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 54
Algunas Clases de Ataques
EspionajeDestruccioacuten o alteracioacuten de informacioacuten
Uso de scripts de ataque
desarrolladosPhishing
Ciber -Terrorismo
War DialingWar
DrivingWalkingWar Chalking
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 55
El Caso Carbanak 1MMMUS$
La banda delictiva ciberneacutetica CARBANAK roba mil millones de doacutelares de 100 instituciones financieras en todo el mundo Kaspersky Lab la INTERPOL EUROPOL y autoridades de diferentes paiacuteses han unido sus fuerzas para dejar al descubierto el complot delictivo de un robo ciberneacutetico sin precedentes Hasta mil millones de doacutelares americanos fueron robados en cerca de dos antildeos de instituciones financieras en todo el mundo Los expertos informan que la responsabilidad del robo recae en una banda multinacional de ciberdelincuentesde Rusia Ucrania y otras partes de Europa asiacute como de China
La banda CARBANAK responsable del robo ciberneacutetico utilizoacute teacutecnicas extraiacutedas del arsenal de los ataques selectivos El complot marca el inicio de una nueva etapa en la evolucioacuten de la actividad de delincuencia ciberneacutetica donde usuarios maliciosos roban dinero directamente de los bancos y evitan concentrar sus ataques en los usuarios finales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 56
Comunicado de prensa 160215 - Karpersky
5705062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
MALWARE
El malware es un tipo de software que tiene como objetivo infiltrarse o dantildear un ordenador sistema de informacioacuten sin el consentimiento de su propietario
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 58
POPUP
bull Un pop-up es un tipo de ventana web que aparece delante de la ventana de un navegador al visitar una paacutegina web
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 59
VOLVER
ADWARE
bull Un programa de clase adware es cualquier programa que automaacuteticamente muestra publicidad web al usuario durante su instalacioacuten o durante su uso para generar lucro a sus autores
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 60
SPAM
bull Se llama spam correo basura a los mensajes no solicitados no deseados o de remitente no conocido habitualmente de tipo publicitario generalmente enviados
en grandes cantidades que perjudican al receptor
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 61
Bomba Loacutegica
Son programas informaacuteticos que se instala en un ordenador y permanece oculto hasta cumplirse una o maacutes condiciones preprogramadas para en ese momento ejecutar una accioacuten
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 62
volver
VIRUS DE MACROS
bull Es una secuencia de oacuterdenes de teclado y ratoacuten asignadas a una sola tecla Los virus de macros afectan a archivos y plantillas que los contienen hacieacutendose pasar por una macro y no actuaraacuten hasta que el archivo se abra o utilice
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 63
VOLVER
VIRUS RESIDENTES
bull Se colocan automaacuteticamente en la memoria RAM del ordenador De este modo pueden controlar e interceptar todas las operaciones llevadas a cabo por el sistema operativo infectando todos aquellos ficheros yo programas que sean ejecutados abiertos cerrados renombrados copiados etc
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 64
VIRUS DE ENLACE
bull Modifican las direcciones que permiten a nivel interno acceder a cada uno de los archivos existentes y como consecuencia no es posible localizarlos y trabajar con ellos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 65
VOLVER
VIRUS MUTANTES
bull Son virus que mutan es decir x Debido a estas mutaciones cada generacioacuten de virus es diferente a la versioacuten anterior dificultando asiacute su deteccioacuten y eliminacioacuten
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 66
VIRUS DE BOOT
bull Se activan en el momento en el que se arranca el ordenador desde un disco infectado ya sea desde el disco duro o desde una memoria USB
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 67
VOLVER
VIRUS DE PROGRAMA
bull Comuacutenmente infectan archivos con extensiones EXE COM OVL DRV BIN DLL y SYS
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 68
VOLVER
VIRUS DE SOBREESCRITURA
bull Sobre-escriben en el interior de los archivos atacados haciendo que se pierda el contenido de los mismos
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 69
Ataques de Seguridad
bull Spyware Es un software de computadoraque al instalarse intercepta o toma controlparcial de la interaccioacuten de lacomputadora y el usuario esto sin que elmismo se de cuenta Estos programaspueden recolectar diferentes tipos deinformacioacuten de los usuarios asiacute comoinstalar software adicional sin elconsentimiento de los mismos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 70
71
Herramientas de Seguridad
bull Gusano Es un programa de computadora quepuede replicarse a si mismo utiliza la red paraenviar copias de si mismo a otros nodos y lopuede hacer sin la intervencioacuten del usuario
A diferencia de los ldquovirusrdquo los gusanos nonecesitan estar amarrados a un programa y sufuncioacuten es principalmente dantildear la red (ejdesempentildeo) mientras que los virus dantildeanarchivos en computadoras
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
72
Ataques de Seguridad
bull Caballo de Troya Es una programa que seinstala bajo la creencia de que se estainstalando alguna otra cosa Los troyanosson programas muy utilizados parainstalar programas tipo ldquobackdoorsrdquo quepermiten el acceso no autorizado a lacomputadora atacada un ejemplo deprogramas tipo backdoor son losKeyloogers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
73
Ataques de Seguridad
bull DoS Denial of service- Ataques quehacen indisponible un servicio a losusuarios
bull DDoS Son conocidos como DNSBackbone Distributed Denial ofServices ndash Ataques tienen comoblanco los servidores raiacutez DNS por lotanto afectan uno de los pilares delInternet los nombres de los dominios
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
74
Ataques de Seguridad
bull Footprinting Teacutecnica utilizada para reunir informacioacuten acerca de sistemas computacionales y las entidades a las que pertenece algunos ejemplos son
- Domain queries
- Network queries
- Organizational queries
- TCP scans
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
75
Ataques de Seguridad
bull Fingerprinting Tambieacuten es conocidocomo TCPIP stack fingerprinting y esutilizado para determinar que sistemaoperativo utiliza alguacuten blanco en la redExiste dos tipos de fingerprinting
- Pasivo- Activo
NMAP es una herramienta que utilizafingerprinting activo para mapearpuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
76
Ataques de Seguridad
bull Escaneo de puertos El escaneo depuertos se basa en el FingerprintingActivo es decir transmite y recibesentildeales como ICMP TELNET SNMPdesde un blanco determinado en lared esto con el fin de obtenerinformacioacuten de dicho blanco en estecaso informacioacuten acerca de suspuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
77
Ataques de Seguridad
bull Sniffing Para llevar a cabo el sniffing esnecesario contar con un ldquopacket snifferrdquoque puede ser software instalado en unacomputadora o un dispositivoindependiente (appliance) estedispositivo es utilizado para interceptar yregistrar traacutefico que pasa a traveacutes de unared o de un segmento de la misma(Puede ser de una red ethernet owireless)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
78
Ataques de Seguridad
bull Spoofing Los ataques tipo spoofing sonaquellos en los que una persona oprograma logra hacerse pasar por otrafalsificando informacioacuten o utilizando laingenieriacutea algunos ataques tipo spoofingson los siguientes
- Falsificacioacuten de direccioacuten de email
- Falsificacioacuten de ID de llamadas telefoacutenicas
- Falsificacioacuten de sitios de internet (phishing)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
79
Ataques de Seguridad
bull Phishing Es el uso de teacutecnicas deingenieriacutea social con la finalidad deadquirir de manera fraudulentainformacioacuten confidencial comonombres de usuarios contrasentildeasinformacioacuten de tarjetas de creacutedito
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
80
Ataques de Seguridad
bull Ingenieriacutea Social Se refiere a unacoleccioacuten de teacutecnicas utilizadas paramanipular a las personas para querealicen alguna accioacuten o divulgueninformacioacuten confidencial
Algunos ingenieros sociales notablesson
- Kevin Mitnik
- Frank Abagnale
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
Ingenieriacutea Social
Es el conjunto de meacutetodos y praacutecticas usados para obtener informacioacuten de usuarios legiacutetimos y con la informacioacuten obtenida lograr acceso a sistemas protegidos siendo esta praacutectica de uso comuacuten entre piratas informaacuteticos y delincuentes computacionales
Coacutemo me afecta Al no validar las referencias o no seguir el protocolo de seguridad adecuado para divulgar contrasentildeas o cualquier otra informacioacuten sensible podemos ser coacutemplices de un crimen Meacutexico ha acordado con organismos internacionales la homologacioacuten yo adecuacioacuten de coacutedigos penales para que estos delitos sean perseguidos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 81
Ingenieriacutea Social
Coacutemo puedo saber si estoy siendo viacutectima de un ingeniero social Muy simple cuando alguien nos pide alguacuten tipo de informacioacuten privilegiada y esta persona es insistente cuando le requerimos seguir un protocolo para validar su intencioacuten es altamente probable que estemos siendo viacutectimas de un intento de robo de informacioacuten por un ingeniero socialhacker
Coacutemo puedo evitarlo Sencillo si no confiamos en la persona que nos solicita los datos (supongamos un teacutecnico de soporte de nuestro lugar de trabajo) podemos pedirle que nos deje sus datos y comunicarnos con el 10 minutos despueacutes de validar que la peticioacuten es legiacutetima es decir soacutelo sigamos los protocolos que existen en el trabajo y crear los propios en casa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 82
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra los Sistemas que Utilizan Tecnologiacuteas de Informacioacuten
bull Artiacuteculo 6 Acceso indebido
bull Artiacuteculo 7 Sabotaje o dantildeo a sistemas
bull Artiacuteculo 8 Favorecimiento culposo del sabotaje o dantildeo
bull Artiacuteculo 9 Acceso indebido o sabotaje a sistemas protegidos
bull Artiacuteculo 10 Posesioacuten de equipos o prestacioacuten de servicios de sabotaje
bull Artiacuteculo 11 Espionaje informaacutetico
bull Artiacuteculo 12 Falsificacioacuten de documentos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 83
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Propiedad
bull Artiacuteculo 13 Hurto
bull Artiacuteculo 14 Fraude
bull Artiacuteculo 15 Obtencioacuten indebida de bienes o servicios
bull Artiacuteculo 16 Manejo fraudulento de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 17 Apropiacioacuten de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 18 Provisioacuten indebida de bienes o servicios
bull Artiacuteculo 19 Posesioacuten de equipo para falsificaciones
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 84
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Privacidad de las Personas y de las Comunicaciones
bullArtiacuteculo 20 Violacioacuten de la privacidad de la data o informacioacuten de caraacutecter personal
bullArtiacuteculo 21 Violacioacuten de la privacidad de las comunicaciones
bullArtiacuteculo 22 Revelacioacuten indebida de data o informacioacuten de caraacutecter personal
De los Delitos Contra Nintildeos Nintildeas o Adolescentes
bullArtiacuteculo 23 Difusioacuten o exhibicioacuten de material pornograacutefico
bullArtiacuteculo 24 Exhibicioacuten pornograacutefica de nintildeos o adolescentes
De los Delitos Contra el Orden Econoacutemico
bullArtiacuteculo 25 Apropiacioacuten de propiedad intelectual
bullArtiacuteculo 26 Oferta engantildeosa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 85
Plan de Contingencia Continuidad Operacional
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 86
Plan de Contingencia
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 87
ldquoConjunto de Normas y Procedimientos documentadosy comunicados que tienen por objetivo minimizar los riesgos informaacuteticos mas probablesrdquo
InvolucrabullUso de herramientas
bullCumplimiento de Tareas por
parte de personas
Plan de Contingencia
Consta de tres subplanes independientes
bull Plan de Respaldo crear y conservar en un lugar seguro copias de seguridad de la informacioacuten
bull Pla de Emergencia queacute medidas tomar cuando se estaacute materializando una amenaza o cuando acaba de producirse
bull Plan de Recuperacioacuten medidas que se aplicaran cuando se ha producido un desastre El objetivo es evaluar el impacto y regresar lo antes posible
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 88
Plan de Contingencia
En la elaboracioacuten de este plan no se puede dejar por fuera a los miembros de la organizacioacuten el cual debe estar informado y entrenado para actuar en las funciones que le hayan sido encomendadas en caso de producirse una amenaza o impacto
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 89
Continuidad Operacional
Business Continuity Planning (Plan de Continuidad de negocios)
bull Plan Baacutesico
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Coldsite)
bull Plan Intermedio
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan Alto
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan de respuesta y continuidad de negocios alternativo (sin asistencia de sistemas)
bull Stress Testing al Plan
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 90
El Stress Testing
bull Poner a prueba el planbull Revise y evalueacute
bull Respaldosbull Oportunidad integridad y funcionalidadbull Custodia y transporte
bull Cold y Hotsitebull Funcionalidad accesibilidad y compatibilidadbull Actualizacioacuten oportuna (hotsite)
bull Personalbull Roles y funcionesbull Accesibilidad (contactos y comunicaciones)
bull Simulacioacuten de cataacutestrofesbull Sin previo aviso el director encargado del BCP se presenta en el centro de computo
cronometro en mano y baja la cuchilla de electricidad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 91
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de Lehman Brothers
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el WorldTrade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehman se desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del World Trade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehman teniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 92
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de LehmanBrothers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 93
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el World Trade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehmanse desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 94
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del WorldTrade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehmanteniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 95
La Contingencia Manual la Uacuteltima Frontera
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 96
05062015 97
DATOS BAacuteSICOS
Responsable A Nivel Corporativo Responsable(s) A Nivel Regional
PROVEEDOR (ES)
Origen Responsable Insumo (s)
RESULTADOS
Normas y Procedimientos Asociados Fecha uacuteltima revisioacuten Sistemas Aplicaciones Asociadas
Proceso
CALIFICACIOacuteN DE CONTROLES DE ENTRADA
Actividad
RECOMENDACIONES
Procesamiento
Automaacutetico (A)Manual (M)
Frecuencia
Adiestramiento Proceso Sistema N y P Otros
Negocio Area Localidad
Responsable
Nombre CargoNombre Cargo
NOMBRE
ELABORADO POR
CARGO FIRMA
Calidad de Data (B) Buena (R) Regular (M) Mala Oportunidad (AT) A Tiempo (R) Retrasada Revisioacuten Aprobacioacuten (S) Si (N) NoLEYENDA
Calificacioacuten (F) Fuerte (M) Medio (B) Bajo
DescripcioacutenResponsableDescripcioacuten
Tarea
Descripcioacuten
FRECUENCIA DE LA TAREA Diaria (D) Semanal (S) Mensual (M) Trimestral (T) Anual (A) Ocasional (O)
Soportes Recepcioacuten (P) Papel (E) Electroacutenico Archivo (S) Si (N) No Soportes Enviacuteo (S) Si (N) No Backup (S) Si (N) No
Producto (s) Cliente ReceptorControl
de salida
SoportesFrecuencia
Recepcioacuten Backup
DOCUMENTOS SISTEMAS ASOCIADOS A LOS CONTROLES
CALIFICACIOacuteN DE CONTROLES (por parte del Cliente Receptor)
Revisioacuten
Aprobacioacuten
Revisioacuten
AprobacioacutenTipo de control
Procesamiento
Automaacutetico (A)Manual (M)
Control
De EntradaTipo de control
Soportes
Recepcioacuten Archivo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 98
DATOS BAacuteSICOS
TareaActividad
Proceso Responsable del Proceso
Fecha de Elaboracioacuten 2015
Accioacuten (es) Responsable (s)
OBSERVACIONES ELABORADO POR
FIRMA
NOMBRE
Plan de recuperacioacuten y Reactivacioacuten de Finanzas
Recomendaciones Acciones
La Cadena de Valor de una Organizacioacuten de Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 99
ASESORAR EN CONTROLES DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR DELEGACIONES FINANCIERAS
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
CONTROLAR SEGURIDAD SISTEMA
OPERACIONALES ADMINISTRATIVOS Y OTROS
SISTEMAS FINANCIEROS
DESARROLLAR CONTROLES
DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR Y DESARROLLAR PLAN INTEGRAL DE CONTROL ( PIC )
Asesorar en controles de procesos normas y
Procedimientos
Administrar delegaciones financieras
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
Controlar seguridad sistema
operacionales administrativos y otros
sistemas financieros
Desarrollar
controles de
procesos
normas y
procedimientos
Administrar y desarrollar plan integral de control ( PIC )
La seguridad informaacutetica NO es un
problema exclusivamente de las
computadoras
Las computadoras y las redes son el principal
campo de batalla
Se debe proteger aquello que tenga un
valor para alguien
Paradigmas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 7
Modelo de Gestioacuten
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 8
Activos Amenazas
Impactos Vulnerabilidades
Riesgos
Funcioacuten
Correctiva
Reduce
Funcioacuten
Preventiva
Reduce
Seguridad de Informacioacuten Modelo PDCA
bull PLANIFICAR (Plan) consiste en establecer el contexto en el se crean las poliacuteticas de seguridad se hace el anaacutelisis de riesgos se hace la seleccioacuten de controles y el estado de aplicabilidad
bull HACER (Do) consiste en implementar el sistema de gestioacuten de seguridad de la informacioacuten implementar el plan de riesgos e implementar los controles
bull VERIFICAR (Check) consiste en monitorear las actividades y hacer auditoriacuteas internas
bull ACTUAR (Act) consiste en ejecutar tareas de mantenimiento propuestas de mejora acciones preventivas y acciones correctivas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 9
Seguridad de Informacioacuten Modelo PDCA
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 10
bull Compromiso de la Direccioacutenbull Planificacioacutenbull Fechasbull Responsables
bull Definir alcance del SGSIbull Definir Poliacutetica de Seguridadbull Metodologiacutea de evaluacioacuten de riesgosbull Inventario de activosbull Identificar amenazas y vulnerabilidadesbull Identificar impactosbull Anaacutelisis y evaluacioacuten de riesgosbull Selccioacuten de controles
bull Definir plan de tratamiento de riesgos
bull Implantar plan de tratamiento de riesgos
bull Implementar los controlesbull Formacioacuten y concienciacioacutenbull Operar el SGSI
bull Implementar mejorasbullAcciones correctivasbullAcciones preventivasbullComprobar eficacia de las acciones
bull Revisar el SGSIbull Medir eficacia de los controlesbull Revisar riesgos residualesbull Realizar auditoriacuteas internas del
SGSIbull Registrar acciones y eventos
iquestQueacute es la seguridad informaacutetica
Poliacuteticas procedimientos y teacutecnicas para asegurar la integridad disponibilidad y confiabilidad de datos y sistemas
Prevenir y detectar amenazas Responder de una forma adecuada y con prontitud ante un incidente
Proteger y Mantener los sistemas funcionando
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 11
iquestQueacute se debe garantizar
bull Confidencialidad Se garantiza que la informacioacuten es accesible soacutelo a aquellas personas autorizadas a tener acceso a la misma
bull Integridad Se salvaguarda la exactitud y totalidad de la informacioacuten y los meacutetodos de procesamiento
bull Disponibilidad Se garantiza que los usuarios autorizados tienen acceso a la informacioacuten y a los recursos relacionados con la misma toda vez que se requiera
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 12
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 13
iquestQueacute es una poliacutetica de seguridad
Una directriz que contendraacute los objetivos de la empresa en materia de seguridad del sistema de informacioacuten
Estos objetivos se engloban en cuatro grupos
bull Identificar
bull Relacionar
bull Proporcionar
bull Detectar
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 14
Alcance de la Poliacutetica de Seguridad
bullNecesidades de seguridad
bullRiesgos que amenazan el sistema
bull Impactos ante un ataque ndashevaluarlos-Identificar
bullMedidas de seguridad para afrontar riesgos de activos o grupos de activosRelacionar
bullPerspectiva general de las reglas y procedimientos para afrontar riesgos identificados en los diferentes departamentosProporcionar
bullVulnerabilidades del sistema de informacioacuten
bullControlar los fallos producidosDetectar
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 15
Anaacutelisis de Riesgo
Estrategias de Recuperacioacuten
Desarrollo de las Estrategias
Desarrollo de los Procedimientos
Pruebas y Entrenamiento
Plan de Mantenimiento
Consecuencia de la Poliacutetica de Seguridad
bull La definicioacuten del plan de contingencias es uno de los resultados y parte de la poliacutetica de seguridad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 16
Esta norma define una poliacutetica de autorizacioacuten geneacuterica la cual puede formularse de la siguiente forma
ldquoLa informacioacuten no puede darse ni puede permitirse el acceso a ella ni se puede permitir que sea inferida ni se puede utilizar ninguacuten recurso por parte de personas o entidades que no estaacuten autorizadas de forma apropiadardquo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 17
bull Determinacioacuten del acceso y uso de los recursos en base a las identidades de los usuarios y recursos
Poliacuteticas Basadas en Identidad
bull El acceso a los recursos se controla a traveacutes de reglas globales impuestas a todos los usuarios por ejemplo utilizando etiquetas de seguridad
Poliacuteticas Basadas en Reglas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 18
bull Autenticacioacuten tanto de entidades como de origen
bull Control de acceso
bull Confidencialidad de los datos
bull Integridad de los datos
bull No repudio
Define cinco categoriacuteas principales de servicios
de seguridad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 19
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 20
Propietariosvaloran
Quieren minimizar
Salvaguardasdefinen
Pueden tener conciencia de
Amenazasexplotan
VulnerabilidadesPermiten o facilitan
Dantildeo
RECURSOSQue pueden tener
Reducen
RIESGO
Fecha __ __ __
Componente Supervisioacuten
Formulario nuacutemero 6 - Mapeo de Riesgos resultado de la evaluacioacuten de Efectividad Eficiencia y Cumplimiento de los Controles
Fecha ________
Entidad evaluada _____________ Proceso _____________________________________Sub Proceso_______________________________________Etapa sub proceso________________________
Elaborado por____________________________________Aprobado Por_________________________________ Pag __ de __
8 500
3 300
0
3
6
9
12
0 3 6 9 12
PR
OB
AB
ILID
AD
IMPACTO
MAPA DE RIESGOS
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 21
Responsabilidad de la Gerencia
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 22
Seguridad Informaacutetica ISOIEC 27001
ldquoLa seguridad informaacutetica consiste en la implantacioacuten de un conjunto de medidas teacutecnicas destinadas a preservar la confidencialidad la integridad y la disponibilidad de la informacioacuten pudiendo ademaacutes abarcar otras propiedades como la autenticidad la responsabilidad la fiabilidad y el no repudiordquo
Es la definicioacuten ofrecida por el estaacutendar para la seguridad de la informacioacuten ISOIEC 27001 aprobado y publicado en octubre de 2005 por la International Organization for Standardization (ISO) y por la comisioacuten International Electrotechnical Commission (IEC)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 23
Estructura Organizacional
Poliacutetica de Seguridad
Organizacioacuten de la Seguridad de la Informacioacuten
Gestioacuten de Activos Control de Acceso
Cumplimiento Conformidad Informacioacuten de gestioacuten de incidentes de seguridad
Seguridad de los recursos humanos
Gestioacuten de continuidad del negocio
Sistemas de Informacioacuten de adquisicioacuten desarrollo y mantenimiento
Comunicacioacuten y gestioacuten de operaciones
Seguridad fiacutesica y ambiental
Los 11 dominios de la ISOIEC 27001bull Poliacutetica de Seguridadbull Organizacioacuten de la seguridad de la
informacioacutenbull Gestioacuten de Activosbull Seguridad de los recursos humanosbull Seguridad fiacutesica y ambientalbull Comunicacioacuten y gestioacuten de
operacionesbull Control de accesobull Sistemas de informacioacuten de
adquisicioacuten desarrollo y mantenimiento
bull Informacioacuten de gestioacuten de incidentes de seguridad
bull Gestioacuten de continuidad del negociobull Cumplimiento Conformidad
Gerencia
Operaciones
Leyenda
Aspectos Gerenciales
Aspectos Teacutecnicos
Aspectos Fiacutesicos
Riesgos Amenazas
VulnerabilidadesGestioacuten de Riesgos en TI
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 25
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 26
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 27
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
DE ATAQUES INTERNOS PARA DANtildeAR DATOS O SISTEMAS FRAUDES ERRORES EN EL MANEJO DE
SISTEMAS
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 28
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 29
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 30
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 31
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Seguridad Informaacutetica a Nivel de Usuarios
bull Los usuarios se acostumbran a usar la tecnologiacutea sin saber como funciona o de los riesgos que pueden correr
bull Son el punto de entrada de muchos de los problemas croacutenicos
bull Son ldquoEl eslaboacuten maacutes deacutebilrdquo en la cadena de seguridad
Usuarios comunes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 32
Seguridad Informaacutetica a Nivel de Usuarios
bull Principio del MENOR PRIVILEGIO POSIBLE
bull EDUCAR AL USUARIO
Dos enfoques para
controlarlos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 33
Seguridad Informaacutetica a Nivel de Usuarios
Principio del MENOR PRIVILEGIO POSIBLE Implica seguridad de
acceso al sistema (usuario password perfiles de usuario de
manera transaccional ndash seguridad por posicioacuten workflow)
bull Reducir la capacidad de accioacuten del usuario sobre los sistemas
bull Objetivo Lograr el menor dantildeo posible en caso de incidentes
Administracioacuten de privilegios
bull Usuarios uacutenicos e intransferibles
bull Procesos de desactivacioacuten de cuentas y activacioacuten del reemplazo (en periacuteodos vacacionales y de reposos)
bull Administracioacuten de claves de acceso
bull Alfanumeacutericas + caracteres especiales + mayuacutesculas minuacutesculas
bull Caducidad
bull Bloqueo por intentos fallidos
bull Prohibicioacuten de palabras y datos de uso comuacuten o asociadas al usuario
bull Reseteo de clave de forma automaacutetica con preguntas de desafiacuteo (pe usando datos encriptados que solo el usuario conoce como fecha de ingreso a la empresa)
bull Perfil de usuario
bull De acuerdo a la actividad y delegacioacuten de autoridad de acuerdo a su posicioacuten y responsabilidades
bull Esquemas de proteccioacuten de datos e informacioacuten (Privado Confidencial y Estrictamente Privado y Confidencial) seguacuten la posicioacuten y actividades (previendo delincuencia comuacuten o DDOO)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 34
Seguridad Informaacutetica a Nivel de Usuarios
EDUCAR AL USUARIO
bull Documentar y publicar todas las normas y procedimientos asociados
bull Generar una cultura de seguridad El usuario ayuda a reforzar y aplicar los mecanismos de seguridad
bull Objetivo Reducir el nuacutemero de incidentes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 35
Adicionales a los que ya
se mostroacute para
usuarios comunes se
debe
bull Seguridad de acceso a las instalaciones (aacuterea de desarrollo y aacuterea de servidores o main frame)
bull Poliacutetica de respaldo de informacioacuten y programas que incluyan backups in situ outside a modo copia espejo e incremental (solo variaciones)
bull Poliacuteticas de sustraccioacuten de datos incluyendo el uso de CDROM y Pendrivers (Wikiliks)
bull Crear ambientes de desarrollo de software aislados de los ambientes de produccioacuten (operaciones de la empresa) y de prueba Crear ambientes de prueba con participacioacuten funcional
bull Crear protocolos de procesos de cambio (implantacioacuten de sistemas actualizacioacuten de software incluidos los sistemas operativos) que incluyan respaldo total de programas y datos a modo espejo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 36
Seguridad Informaacutetica a Nivel de Usuarios
Vulnerabilidad
bull En un sistema informaacutetico lo que queremos proteger son sus activos es decir los recursos que forman parte del sistema y que podemos agrupar enbull - Hardware - Software
bull - Datos - Otros
bull Los mas criacuteticos son los datos el hardware y el software Es decir los datos que estaacuten almacenados en el hardware y que son procesados por las aplicaciones software
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 37
Vulnerabilidad
bull Es la debilidad de cualquier tipo que compromete la seguridad del sistema informaacutetico
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 38
Disentildeobull Debilidad en el disentildeo de protocolos utilizados en las redes
bull Poliacuteticas de seguridad deficientes e inexistentes
Implementacioacuten
bull Errores de programacioacuten
bull Existencia de ldquopuertas traserasrdquo en los sistemas informaacuteticos
bull Descuido de los fabricantes
Uso
bull Mala configuracioacuten de los sistemas informaacuteticos
bull Desconocimiento y falta de sensibilizacioacuten de los usuarios y de los responsables de informaacutetica
bull Disponibilidad de herramientas que facilitan los ataques
bull Limitacioacuten gubernamental de tecnologiacuteas de seguridad
Vulnerabilidades conocidas
bull Firewall
bull Antivirus
bull Malware
bull Antispy
bull Protocolos de encriptacioacuten
bull Firmas digitales
bull Monitoreo de redes (Comunity Manager)
Consisten en ataques
intercepciones de datos y enviacuteo de
informacioacuten usurpando identidad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 39
Vulnerabilidades
bull Ataques contra el flujo de la informacioacuten FLUJO NORMAL
Los mensajes en una red se enviacutean a partir de un emisor a uno o varios receptores
El atacante es un tercer elemento en la realidad existen millones de elementos atacantesintencionales o accidentales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 40
Emisor Receptor
Atacante
bull INTERRUPCIONbull El mensaje no puede llegar a su destino un recurso del sistema es destruido o
temporalmente inutilizado
bull Este es un ataque contra la Disponibilidad
bull Ejemplos Destruccioacuten de una pieza de hardware cortar los medios de comunicacioacuten o deshabilitar los sistemas de administracioacuten de archivos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 41
Vulnerabilidades
Emisor
Atacante
Receptor
Vulnerabilidades
bull INTERCEPCIONbull Una persona computadora o programa sin autorizacioacuten logra el acceso a un
recurso controlado
bull Es un ataque contra la Confidencialidad
bull Ejemplos Escuchas electroacutenicos copias iliacutecitas de programas o datos escalamiento de privilegios
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 42
Emisor
Atacante
Receptor
Vulnerabilidades
bull MODIFICACIONbull La persona sin autorizacioacuten ademaacutes de lograr el acceso modifica el mensaje
bull Este es un ataque contra la Integridad
bull Ejemplos Alterar la informacioacuten que se transmite desde una base de datos modificar los mensajes entre programas para que se comporten diferente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 43
bull FABRICACIONbull Una persona sin autorizacioacuten inserta objetos falsos en el sistemabull Es un ataque contra la Autenticidadbull Ejemplos Suplantacioacuten de identidades robo de sesiones robo de contrasentildeas
robo de direcciones IP etcbull Es muy difiacutecil estar seguro de quieacuten esta al otro lado de la liacutenea
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 44
Vulnerabilidades
Emisor
Atacante
Receptor
iquestQuienes Atacan los Sistemas
Gobiernos Extranjeros
Espiacuteas industriales o poliacuteticos
Criminales
Empleados descontentos y abusos internos
Adolescentes sin nada que hacer
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 45
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 46
Estado del ataque Ejemplo de Acciones
1-Buacutesqueda de Ingreso Correr un scanner de puertos
2-Penetracioacuten Explorar un sistema sin parches de seguridad
3-Elevacioacuten de Privilegios Lograr cuenta de Administrador
5-Enmascaramiento Borrado de rastros del ingreso y ataque
4-Ataque en si mismo Robo de datos destruccioacuten del sitio web etc
INTRUSO
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 47
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 48
Actuacioacuten del Criminal
bull Se requieren talentos especiales
bull El fraude ha crecido gracias a la aparicioacuten de las computadoras
Mitos
bull Dinero
bull Satisfaccioacuten (egocentrismo)
bull Ideologiacutea
bull Psicosis
Motivaciones personales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 49
bull Ambiente de trabajo
bull Prestaciones
bull Nivel de confianza interpersonal
bull Eacutetica ambiental
bull Nivel de stress
bull AMBIENTE DE CONTROL INTERNO
Motivaciones ambientales
Ethical Hacking
Es una intrusioacuten eacutetica es la aplicacioacuten de herramientas de intrusioacuten penetracioacuten robo personificacioacuten y negacioacuten de servicio llevado a cabo por hackers eacuteticos es decir personas con la experiencia y conocimiento suficiente para llevar a cabo estas pruebas en nombre de la organizacioacuten es decir de manera legal y prevista para determinar el nivel de seguridad de una red de equipos o servicios (incluido el aspecto de ingenieriacutea social)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 50
Ethical Hacking
bull al conocer el nivel de seguridad que se tiene en nuestra organizacioacuten es mucho maacutes sencillo no simple el tomar medidas que puedan subsanar estas deficienciasiquestPor queacute es
Importante
bull No al usar las armas que el enemigo usa es maacutes factible que podamos determinar el nivel de riesgo y por tanto la respuesta que debemos dar ante un ataque vieacutendolo como analogiacutea meacutedica es como cuando nos vacunan pues nos inoculan una versioacuten del virus del cual nos quieren hacer inmunes
iquestNo es contraproducente
bull Al contratar un servicio o realizarlo de manera interna estamos confiando en la eacutetica profesional de quien evaluacutea por lo que siacute siempre llevamos un riesgo pero se establece un contrato de buena fe hacieacutendolo suficientemente fiable (asegurando)iquestEs fiable
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 51
Ejemplos de Criacutemenes Electroacutenicos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 52
Ataque en 1986 de alemanes trabajando para la KGB contra sistemas estrateacutegicos de EEUU (Clifford Stoll Cuckooacutes egg)
El gusano Morris que se propagoacute por internet en 1988
causando un problema de DoS La causa fue la interrupcioacuten
causada por un programa escrito por Robert Tappan Morris
414 Gang enviacutea ataques contra los registros meacutedicos del
hospital para enfermos de caacutencer Sloan-Kettering
Ataques de Kevin Mitnick 1989-1996
Penetracioacuten de la red de Microsoft en octubre de 2000
por un cracker que ganoacute acceso a programas en desarrollo
Esparcimiento del Love Letter difundido por Onel Guzmaacuten en
Filipinas
53
DDoS contra Yahoo Amazon y Zdnet
Muacuteltiples problemas por virus desde
entonces
Target (Robo de informacioacuten de clientes
Identidad y datos financieros)
Juegos del Hambre
Ataque a Sony (Cyberterrorismo) y la
Respuesta con el apagoacuten de internet a
Korea del Norte
Carnabank (Europa oriental europa
occidental EEUU Panamaacute)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
Ejemplos de Criacutemenes Electroacutenicos
Algunas Clases de Ataques
Negacioacuten de Servicio (DoS)
Robo de contrasentildeas
Robo de identidad
Ingenieriacutea social
Defacement
FraudePirateriacutea de
softwareDumpster
divingCoacutedigo
MaliciosoIP spoofing
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 54
Algunas Clases de Ataques
EspionajeDestruccioacuten o alteracioacuten de informacioacuten
Uso de scripts de ataque
desarrolladosPhishing
Ciber -Terrorismo
War DialingWar
DrivingWalkingWar Chalking
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 55
El Caso Carbanak 1MMMUS$
La banda delictiva ciberneacutetica CARBANAK roba mil millones de doacutelares de 100 instituciones financieras en todo el mundo Kaspersky Lab la INTERPOL EUROPOL y autoridades de diferentes paiacuteses han unido sus fuerzas para dejar al descubierto el complot delictivo de un robo ciberneacutetico sin precedentes Hasta mil millones de doacutelares americanos fueron robados en cerca de dos antildeos de instituciones financieras en todo el mundo Los expertos informan que la responsabilidad del robo recae en una banda multinacional de ciberdelincuentesde Rusia Ucrania y otras partes de Europa asiacute como de China
La banda CARBANAK responsable del robo ciberneacutetico utilizoacute teacutecnicas extraiacutedas del arsenal de los ataques selectivos El complot marca el inicio de una nueva etapa en la evolucioacuten de la actividad de delincuencia ciberneacutetica donde usuarios maliciosos roban dinero directamente de los bancos y evitan concentrar sus ataques en los usuarios finales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 56
Comunicado de prensa 160215 - Karpersky
5705062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
MALWARE
El malware es un tipo de software que tiene como objetivo infiltrarse o dantildear un ordenador sistema de informacioacuten sin el consentimiento de su propietario
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 58
POPUP
bull Un pop-up es un tipo de ventana web que aparece delante de la ventana de un navegador al visitar una paacutegina web
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 59
VOLVER
ADWARE
bull Un programa de clase adware es cualquier programa que automaacuteticamente muestra publicidad web al usuario durante su instalacioacuten o durante su uso para generar lucro a sus autores
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 60
SPAM
bull Se llama spam correo basura a los mensajes no solicitados no deseados o de remitente no conocido habitualmente de tipo publicitario generalmente enviados
en grandes cantidades que perjudican al receptor
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 61
Bomba Loacutegica
Son programas informaacuteticos que se instala en un ordenador y permanece oculto hasta cumplirse una o maacutes condiciones preprogramadas para en ese momento ejecutar una accioacuten
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 62
volver
VIRUS DE MACROS
bull Es una secuencia de oacuterdenes de teclado y ratoacuten asignadas a una sola tecla Los virus de macros afectan a archivos y plantillas que los contienen hacieacutendose pasar por una macro y no actuaraacuten hasta que el archivo se abra o utilice
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 63
VOLVER
VIRUS RESIDENTES
bull Se colocan automaacuteticamente en la memoria RAM del ordenador De este modo pueden controlar e interceptar todas las operaciones llevadas a cabo por el sistema operativo infectando todos aquellos ficheros yo programas que sean ejecutados abiertos cerrados renombrados copiados etc
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 64
VIRUS DE ENLACE
bull Modifican las direcciones que permiten a nivel interno acceder a cada uno de los archivos existentes y como consecuencia no es posible localizarlos y trabajar con ellos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 65
VOLVER
VIRUS MUTANTES
bull Son virus que mutan es decir x Debido a estas mutaciones cada generacioacuten de virus es diferente a la versioacuten anterior dificultando asiacute su deteccioacuten y eliminacioacuten
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 66
VIRUS DE BOOT
bull Se activan en el momento en el que se arranca el ordenador desde un disco infectado ya sea desde el disco duro o desde una memoria USB
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 67
VOLVER
VIRUS DE PROGRAMA
bull Comuacutenmente infectan archivos con extensiones EXE COM OVL DRV BIN DLL y SYS
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 68
VOLVER
VIRUS DE SOBREESCRITURA
bull Sobre-escriben en el interior de los archivos atacados haciendo que se pierda el contenido de los mismos
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 69
Ataques de Seguridad
bull Spyware Es un software de computadoraque al instalarse intercepta o toma controlparcial de la interaccioacuten de lacomputadora y el usuario esto sin que elmismo se de cuenta Estos programaspueden recolectar diferentes tipos deinformacioacuten de los usuarios asiacute comoinstalar software adicional sin elconsentimiento de los mismos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 70
71
Herramientas de Seguridad
bull Gusano Es un programa de computadora quepuede replicarse a si mismo utiliza la red paraenviar copias de si mismo a otros nodos y lopuede hacer sin la intervencioacuten del usuario
A diferencia de los ldquovirusrdquo los gusanos nonecesitan estar amarrados a un programa y sufuncioacuten es principalmente dantildear la red (ejdesempentildeo) mientras que los virus dantildeanarchivos en computadoras
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
72
Ataques de Seguridad
bull Caballo de Troya Es una programa que seinstala bajo la creencia de que se estainstalando alguna otra cosa Los troyanosson programas muy utilizados parainstalar programas tipo ldquobackdoorsrdquo quepermiten el acceso no autorizado a lacomputadora atacada un ejemplo deprogramas tipo backdoor son losKeyloogers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
73
Ataques de Seguridad
bull DoS Denial of service- Ataques quehacen indisponible un servicio a losusuarios
bull DDoS Son conocidos como DNSBackbone Distributed Denial ofServices ndash Ataques tienen comoblanco los servidores raiacutez DNS por lotanto afectan uno de los pilares delInternet los nombres de los dominios
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
74
Ataques de Seguridad
bull Footprinting Teacutecnica utilizada para reunir informacioacuten acerca de sistemas computacionales y las entidades a las que pertenece algunos ejemplos son
- Domain queries
- Network queries
- Organizational queries
- TCP scans
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
75
Ataques de Seguridad
bull Fingerprinting Tambieacuten es conocidocomo TCPIP stack fingerprinting y esutilizado para determinar que sistemaoperativo utiliza alguacuten blanco en la redExiste dos tipos de fingerprinting
- Pasivo- Activo
NMAP es una herramienta que utilizafingerprinting activo para mapearpuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
76
Ataques de Seguridad
bull Escaneo de puertos El escaneo depuertos se basa en el FingerprintingActivo es decir transmite y recibesentildeales como ICMP TELNET SNMPdesde un blanco determinado en lared esto con el fin de obtenerinformacioacuten de dicho blanco en estecaso informacioacuten acerca de suspuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
77
Ataques de Seguridad
bull Sniffing Para llevar a cabo el sniffing esnecesario contar con un ldquopacket snifferrdquoque puede ser software instalado en unacomputadora o un dispositivoindependiente (appliance) estedispositivo es utilizado para interceptar yregistrar traacutefico que pasa a traveacutes de unared o de un segmento de la misma(Puede ser de una red ethernet owireless)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
78
Ataques de Seguridad
bull Spoofing Los ataques tipo spoofing sonaquellos en los que una persona oprograma logra hacerse pasar por otrafalsificando informacioacuten o utilizando laingenieriacutea algunos ataques tipo spoofingson los siguientes
- Falsificacioacuten de direccioacuten de email
- Falsificacioacuten de ID de llamadas telefoacutenicas
- Falsificacioacuten de sitios de internet (phishing)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
79
Ataques de Seguridad
bull Phishing Es el uso de teacutecnicas deingenieriacutea social con la finalidad deadquirir de manera fraudulentainformacioacuten confidencial comonombres de usuarios contrasentildeasinformacioacuten de tarjetas de creacutedito
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
80
Ataques de Seguridad
bull Ingenieriacutea Social Se refiere a unacoleccioacuten de teacutecnicas utilizadas paramanipular a las personas para querealicen alguna accioacuten o divulgueninformacioacuten confidencial
Algunos ingenieros sociales notablesson
- Kevin Mitnik
- Frank Abagnale
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
Ingenieriacutea Social
Es el conjunto de meacutetodos y praacutecticas usados para obtener informacioacuten de usuarios legiacutetimos y con la informacioacuten obtenida lograr acceso a sistemas protegidos siendo esta praacutectica de uso comuacuten entre piratas informaacuteticos y delincuentes computacionales
Coacutemo me afecta Al no validar las referencias o no seguir el protocolo de seguridad adecuado para divulgar contrasentildeas o cualquier otra informacioacuten sensible podemos ser coacutemplices de un crimen Meacutexico ha acordado con organismos internacionales la homologacioacuten yo adecuacioacuten de coacutedigos penales para que estos delitos sean perseguidos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 81
Ingenieriacutea Social
Coacutemo puedo saber si estoy siendo viacutectima de un ingeniero social Muy simple cuando alguien nos pide alguacuten tipo de informacioacuten privilegiada y esta persona es insistente cuando le requerimos seguir un protocolo para validar su intencioacuten es altamente probable que estemos siendo viacutectimas de un intento de robo de informacioacuten por un ingeniero socialhacker
Coacutemo puedo evitarlo Sencillo si no confiamos en la persona que nos solicita los datos (supongamos un teacutecnico de soporte de nuestro lugar de trabajo) podemos pedirle que nos deje sus datos y comunicarnos con el 10 minutos despueacutes de validar que la peticioacuten es legiacutetima es decir soacutelo sigamos los protocolos que existen en el trabajo y crear los propios en casa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 82
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra los Sistemas que Utilizan Tecnologiacuteas de Informacioacuten
bull Artiacuteculo 6 Acceso indebido
bull Artiacuteculo 7 Sabotaje o dantildeo a sistemas
bull Artiacuteculo 8 Favorecimiento culposo del sabotaje o dantildeo
bull Artiacuteculo 9 Acceso indebido o sabotaje a sistemas protegidos
bull Artiacuteculo 10 Posesioacuten de equipos o prestacioacuten de servicios de sabotaje
bull Artiacuteculo 11 Espionaje informaacutetico
bull Artiacuteculo 12 Falsificacioacuten de documentos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 83
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Propiedad
bull Artiacuteculo 13 Hurto
bull Artiacuteculo 14 Fraude
bull Artiacuteculo 15 Obtencioacuten indebida de bienes o servicios
bull Artiacuteculo 16 Manejo fraudulento de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 17 Apropiacioacuten de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 18 Provisioacuten indebida de bienes o servicios
bull Artiacuteculo 19 Posesioacuten de equipo para falsificaciones
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 84
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Privacidad de las Personas y de las Comunicaciones
bullArtiacuteculo 20 Violacioacuten de la privacidad de la data o informacioacuten de caraacutecter personal
bullArtiacuteculo 21 Violacioacuten de la privacidad de las comunicaciones
bullArtiacuteculo 22 Revelacioacuten indebida de data o informacioacuten de caraacutecter personal
De los Delitos Contra Nintildeos Nintildeas o Adolescentes
bullArtiacuteculo 23 Difusioacuten o exhibicioacuten de material pornograacutefico
bullArtiacuteculo 24 Exhibicioacuten pornograacutefica de nintildeos o adolescentes
De los Delitos Contra el Orden Econoacutemico
bullArtiacuteculo 25 Apropiacioacuten de propiedad intelectual
bullArtiacuteculo 26 Oferta engantildeosa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 85
Plan de Contingencia Continuidad Operacional
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 86
Plan de Contingencia
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 87
ldquoConjunto de Normas y Procedimientos documentadosy comunicados que tienen por objetivo minimizar los riesgos informaacuteticos mas probablesrdquo
InvolucrabullUso de herramientas
bullCumplimiento de Tareas por
parte de personas
Plan de Contingencia
Consta de tres subplanes independientes
bull Plan de Respaldo crear y conservar en un lugar seguro copias de seguridad de la informacioacuten
bull Pla de Emergencia queacute medidas tomar cuando se estaacute materializando una amenaza o cuando acaba de producirse
bull Plan de Recuperacioacuten medidas que se aplicaran cuando se ha producido un desastre El objetivo es evaluar el impacto y regresar lo antes posible
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 88
Plan de Contingencia
En la elaboracioacuten de este plan no se puede dejar por fuera a los miembros de la organizacioacuten el cual debe estar informado y entrenado para actuar en las funciones que le hayan sido encomendadas en caso de producirse una amenaza o impacto
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 89
Continuidad Operacional
Business Continuity Planning (Plan de Continuidad de negocios)
bull Plan Baacutesico
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Coldsite)
bull Plan Intermedio
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan Alto
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan de respuesta y continuidad de negocios alternativo (sin asistencia de sistemas)
bull Stress Testing al Plan
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 90
El Stress Testing
bull Poner a prueba el planbull Revise y evalueacute
bull Respaldosbull Oportunidad integridad y funcionalidadbull Custodia y transporte
bull Cold y Hotsitebull Funcionalidad accesibilidad y compatibilidadbull Actualizacioacuten oportuna (hotsite)
bull Personalbull Roles y funcionesbull Accesibilidad (contactos y comunicaciones)
bull Simulacioacuten de cataacutestrofesbull Sin previo aviso el director encargado del BCP se presenta en el centro de computo
cronometro en mano y baja la cuchilla de electricidad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 91
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de Lehman Brothers
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el WorldTrade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehman se desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del World Trade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehman teniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 92
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de LehmanBrothers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 93
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el World Trade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehmanse desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 94
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del WorldTrade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehmanteniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 95
La Contingencia Manual la Uacuteltima Frontera
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 96
05062015 97
DATOS BAacuteSICOS
Responsable A Nivel Corporativo Responsable(s) A Nivel Regional
PROVEEDOR (ES)
Origen Responsable Insumo (s)
RESULTADOS
Normas y Procedimientos Asociados Fecha uacuteltima revisioacuten Sistemas Aplicaciones Asociadas
Proceso
CALIFICACIOacuteN DE CONTROLES DE ENTRADA
Actividad
RECOMENDACIONES
Procesamiento
Automaacutetico (A)Manual (M)
Frecuencia
Adiestramiento Proceso Sistema N y P Otros
Negocio Area Localidad
Responsable
Nombre CargoNombre Cargo
NOMBRE
ELABORADO POR
CARGO FIRMA
Calidad de Data (B) Buena (R) Regular (M) Mala Oportunidad (AT) A Tiempo (R) Retrasada Revisioacuten Aprobacioacuten (S) Si (N) NoLEYENDA
Calificacioacuten (F) Fuerte (M) Medio (B) Bajo
DescripcioacutenResponsableDescripcioacuten
Tarea
Descripcioacuten
FRECUENCIA DE LA TAREA Diaria (D) Semanal (S) Mensual (M) Trimestral (T) Anual (A) Ocasional (O)
Soportes Recepcioacuten (P) Papel (E) Electroacutenico Archivo (S) Si (N) No Soportes Enviacuteo (S) Si (N) No Backup (S) Si (N) No
Producto (s) Cliente ReceptorControl
de salida
SoportesFrecuencia
Recepcioacuten Backup
DOCUMENTOS SISTEMAS ASOCIADOS A LOS CONTROLES
CALIFICACIOacuteN DE CONTROLES (por parte del Cliente Receptor)
Revisioacuten
Aprobacioacuten
Revisioacuten
AprobacioacutenTipo de control
Procesamiento
Automaacutetico (A)Manual (M)
Control
De EntradaTipo de control
Soportes
Recepcioacuten Archivo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 98
DATOS BAacuteSICOS
TareaActividad
Proceso Responsable del Proceso
Fecha de Elaboracioacuten 2015
Accioacuten (es) Responsable (s)
OBSERVACIONES ELABORADO POR
FIRMA
NOMBRE
Plan de recuperacioacuten y Reactivacioacuten de Finanzas
Recomendaciones Acciones
La Cadena de Valor de una Organizacioacuten de Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 99
ASESORAR EN CONTROLES DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR DELEGACIONES FINANCIERAS
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
CONTROLAR SEGURIDAD SISTEMA
OPERACIONALES ADMINISTRATIVOS Y OTROS
SISTEMAS FINANCIEROS
DESARROLLAR CONTROLES
DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR Y DESARROLLAR PLAN INTEGRAL DE CONTROL ( PIC )
Asesorar en controles de procesos normas y
Procedimientos
Administrar delegaciones financieras
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
Controlar seguridad sistema
operacionales administrativos y otros
sistemas financieros
Desarrollar
controles de
procesos
normas y
procedimientos
Administrar y desarrollar plan integral de control ( PIC )
Modelo de Gestioacuten
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 8
Activos Amenazas
Impactos Vulnerabilidades
Riesgos
Funcioacuten
Correctiva
Reduce
Funcioacuten
Preventiva
Reduce
Seguridad de Informacioacuten Modelo PDCA
bull PLANIFICAR (Plan) consiste en establecer el contexto en el se crean las poliacuteticas de seguridad se hace el anaacutelisis de riesgos se hace la seleccioacuten de controles y el estado de aplicabilidad
bull HACER (Do) consiste en implementar el sistema de gestioacuten de seguridad de la informacioacuten implementar el plan de riesgos e implementar los controles
bull VERIFICAR (Check) consiste en monitorear las actividades y hacer auditoriacuteas internas
bull ACTUAR (Act) consiste en ejecutar tareas de mantenimiento propuestas de mejora acciones preventivas y acciones correctivas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 9
Seguridad de Informacioacuten Modelo PDCA
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 10
bull Compromiso de la Direccioacutenbull Planificacioacutenbull Fechasbull Responsables
bull Definir alcance del SGSIbull Definir Poliacutetica de Seguridadbull Metodologiacutea de evaluacioacuten de riesgosbull Inventario de activosbull Identificar amenazas y vulnerabilidadesbull Identificar impactosbull Anaacutelisis y evaluacioacuten de riesgosbull Selccioacuten de controles
bull Definir plan de tratamiento de riesgos
bull Implantar plan de tratamiento de riesgos
bull Implementar los controlesbull Formacioacuten y concienciacioacutenbull Operar el SGSI
bull Implementar mejorasbullAcciones correctivasbullAcciones preventivasbullComprobar eficacia de las acciones
bull Revisar el SGSIbull Medir eficacia de los controlesbull Revisar riesgos residualesbull Realizar auditoriacuteas internas del
SGSIbull Registrar acciones y eventos
iquestQueacute es la seguridad informaacutetica
Poliacuteticas procedimientos y teacutecnicas para asegurar la integridad disponibilidad y confiabilidad de datos y sistemas
Prevenir y detectar amenazas Responder de una forma adecuada y con prontitud ante un incidente
Proteger y Mantener los sistemas funcionando
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 11
iquestQueacute se debe garantizar
bull Confidencialidad Se garantiza que la informacioacuten es accesible soacutelo a aquellas personas autorizadas a tener acceso a la misma
bull Integridad Se salvaguarda la exactitud y totalidad de la informacioacuten y los meacutetodos de procesamiento
bull Disponibilidad Se garantiza que los usuarios autorizados tienen acceso a la informacioacuten y a los recursos relacionados con la misma toda vez que se requiera
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 12
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 13
iquestQueacute es una poliacutetica de seguridad
Una directriz que contendraacute los objetivos de la empresa en materia de seguridad del sistema de informacioacuten
Estos objetivos se engloban en cuatro grupos
bull Identificar
bull Relacionar
bull Proporcionar
bull Detectar
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 14
Alcance de la Poliacutetica de Seguridad
bullNecesidades de seguridad
bullRiesgos que amenazan el sistema
bull Impactos ante un ataque ndashevaluarlos-Identificar
bullMedidas de seguridad para afrontar riesgos de activos o grupos de activosRelacionar
bullPerspectiva general de las reglas y procedimientos para afrontar riesgos identificados en los diferentes departamentosProporcionar
bullVulnerabilidades del sistema de informacioacuten
bullControlar los fallos producidosDetectar
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 15
Anaacutelisis de Riesgo
Estrategias de Recuperacioacuten
Desarrollo de las Estrategias
Desarrollo de los Procedimientos
Pruebas y Entrenamiento
Plan de Mantenimiento
Consecuencia de la Poliacutetica de Seguridad
bull La definicioacuten del plan de contingencias es uno de los resultados y parte de la poliacutetica de seguridad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 16
Esta norma define una poliacutetica de autorizacioacuten geneacuterica la cual puede formularse de la siguiente forma
ldquoLa informacioacuten no puede darse ni puede permitirse el acceso a ella ni se puede permitir que sea inferida ni se puede utilizar ninguacuten recurso por parte de personas o entidades que no estaacuten autorizadas de forma apropiadardquo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 17
bull Determinacioacuten del acceso y uso de los recursos en base a las identidades de los usuarios y recursos
Poliacuteticas Basadas en Identidad
bull El acceso a los recursos se controla a traveacutes de reglas globales impuestas a todos los usuarios por ejemplo utilizando etiquetas de seguridad
Poliacuteticas Basadas en Reglas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 18
bull Autenticacioacuten tanto de entidades como de origen
bull Control de acceso
bull Confidencialidad de los datos
bull Integridad de los datos
bull No repudio
Define cinco categoriacuteas principales de servicios
de seguridad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 19
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 20
Propietariosvaloran
Quieren minimizar
Salvaguardasdefinen
Pueden tener conciencia de
Amenazasexplotan
VulnerabilidadesPermiten o facilitan
Dantildeo
RECURSOSQue pueden tener
Reducen
RIESGO
Fecha __ __ __
Componente Supervisioacuten
Formulario nuacutemero 6 - Mapeo de Riesgos resultado de la evaluacioacuten de Efectividad Eficiencia y Cumplimiento de los Controles
Fecha ________
Entidad evaluada _____________ Proceso _____________________________________Sub Proceso_______________________________________Etapa sub proceso________________________
Elaborado por____________________________________Aprobado Por_________________________________ Pag __ de __
8 500
3 300
0
3
6
9
12
0 3 6 9 12
PR
OB
AB
ILID
AD
IMPACTO
MAPA DE RIESGOS
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 21
Responsabilidad de la Gerencia
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 22
Seguridad Informaacutetica ISOIEC 27001
ldquoLa seguridad informaacutetica consiste en la implantacioacuten de un conjunto de medidas teacutecnicas destinadas a preservar la confidencialidad la integridad y la disponibilidad de la informacioacuten pudiendo ademaacutes abarcar otras propiedades como la autenticidad la responsabilidad la fiabilidad y el no repudiordquo
Es la definicioacuten ofrecida por el estaacutendar para la seguridad de la informacioacuten ISOIEC 27001 aprobado y publicado en octubre de 2005 por la International Organization for Standardization (ISO) y por la comisioacuten International Electrotechnical Commission (IEC)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 23
Estructura Organizacional
Poliacutetica de Seguridad
Organizacioacuten de la Seguridad de la Informacioacuten
Gestioacuten de Activos Control de Acceso
Cumplimiento Conformidad Informacioacuten de gestioacuten de incidentes de seguridad
Seguridad de los recursos humanos
Gestioacuten de continuidad del negocio
Sistemas de Informacioacuten de adquisicioacuten desarrollo y mantenimiento
Comunicacioacuten y gestioacuten de operaciones
Seguridad fiacutesica y ambiental
Los 11 dominios de la ISOIEC 27001bull Poliacutetica de Seguridadbull Organizacioacuten de la seguridad de la
informacioacutenbull Gestioacuten de Activosbull Seguridad de los recursos humanosbull Seguridad fiacutesica y ambientalbull Comunicacioacuten y gestioacuten de
operacionesbull Control de accesobull Sistemas de informacioacuten de
adquisicioacuten desarrollo y mantenimiento
bull Informacioacuten de gestioacuten de incidentes de seguridad
bull Gestioacuten de continuidad del negociobull Cumplimiento Conformidad
Gerencia
Operaciones
Leyenda
Aspectos Gerenciales
Aspectos Teacutecnicos
Aspectos Fiacutesicos
Riesgos Amenazas
VulnerabilidadesGestioacuten de Riesgos en TI
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 25
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 26
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 27
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
DE ATAQUES INTERNOS PARA DANtildeAR DATOS O SISTEMAS FRAUDES ERRORES EN EL MANEJO DE
SISTEMAS
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 28
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 29
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 30
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 31
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Seguridad Informaacutetica a Nivel de Usuarios
bull Los usuarios se acostumbran a usar la tecnologiacutea sin saber como funciona o de los riesgos que pueden correr
bull Son el punto de entrada de muchos de los problemas croacutenicos
bull Son ldquoEl eslaboacuten maacutes deacutebilrdquo en la cadena de seguridad
Usuarios comunes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 32
Seguridad Informaacutetica a Nivel de Usuarios
bull Principio del MENOR PRIVILEGIO POSIBLE
bull EDUCAR AL USUARIO
Dos enfoques para
controlarlos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 33
Seguridad Informaacutetica a Nivel de Usuarios
Principio del MENOR PRIVILEGIO POSIBLE Implica seguridad de
acceso al sistema (usuario password perfiles de usuario de
manera transaccional ndash seguridad por posicioacuten workflow)
bull Reducir la capacidad de accioacuten del usuario sobre los sistemas
bull Objetivo Lograr el menor dantildeo posible en caso de incidentes
Administracioacuten de privilegios
bull Usuarios uacutenicos e intransferibles
bull Procesos de desactivacioacuten de cuentas y activacioacuten del reemplazo (en periacuteodos vacacionales y de reposos)
bull Administracioacuten de claves de acceso
bull Alfanumeacutericas + caracteres especiales + mayuacutesculas minuacutesculas
bull Caducidad
bull Bloqueo por intentos fallidos
bull Prohibicioacuten de palabras y datos de uso comuacuten o asociadas al usuario
bull Reseteo de clave de forma automaacutetica con preguntas de desafiacuteo (pe usando datos encriptados que solo el usuario conoce como fecha de ingreso a la empresa)
bull Perfil de usuario
bull De acuerdo a la actividad y delegacioacuten de autoridad de acuerdo a su posicioacuten y responsabilidades
bull Esquemas de proteccioacuten de datos e informacioacuten (Privado Confidencial y Estrictamente Privado y Confidencial) seguacuten la posicioacuten y actividades (previendo delincuencia comuacuten o DDOO)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 34
Seguridad Informaacutetica a Nivel de Usuarios
EDUCAR AL USUARIO
bull Documentar y publicar todas las normas y procedimientos asociados
bull Generar una cultura de seguridad El usuario ayuda a reforzar y aplicar los mecanismos de seguridad
bull Objetivo Reducir el nuacutemero de incidentes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 35
Adicionales a los que ya
se mostroacute para
usuarios comunes se
debe
bull Seguridad de acceso a las instalaciones (aacuterea de desarrollo y aacuterea de servidores o main frame)
bull Poliacutetica de respaldo de informacioacuten y programas que incluyan backups in situ outside a modo copia espejo e incremental (solo variaciones)
bull Poliacuteticas de sustraccioacuten de datos incluyendo el uso de CDROM y Pendrivers (Wikiliks)
bull Crear ambientes de desarrollo de software aislados de los ambientes de produccioacuten (operaciones de la empresa) y de prueba Crear ambientes de prueba con participacioacuten funcional
bull Crear protocolos de procesos de cambio (implantacioacuten de sistemas actualizacioacuten de software incluidos los sistemas operativos) que incluyan respaldo total de programas y datos a modo espejo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 36
Seguridad Informaacutetica a Nivel de Usuarios
Vulnerabilidad
bull En un sistema informaacutetico lo que queremos proteger son sus activos es decir los recursos que forman parte del sistema y que podemos agrupar enbull - Hardware - Software
bull - Datos - Otros
bull Los mas criacuteticos son los datos el hardware y el software Es decir los datos que estaacuten almacenados en el hardware y que son procesados por las aplicaciones software
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 37
Vulnerabilidad
bull Es la debilidad de cualquier tipo que compromete la seguridad del sistema informaacutetico
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 38
Disentildeobull Debilidad en el disentildeo de protocolos utilizados en las redes
bull Poliacuteticas de seguridad deficientes e inexistentes
Implementacioacuten
bull Errores de programacioacuten
bull Existencia de ldquopuertas traserasrdquo en los sistemas informaacuteticos
bull Descuido de los fabricantes
Uso
bull Mala configuracioacuten de los sistemas informaacuteticos
bull Desconocimiento y falta de sensibilizacioacuten de los usuarios y de los responsables de informaacutetica
bull Disponibilidad de herramientas que facilitan los ataques
bull Limitacioacuten gubernamental de tecnologiacuteas de seguridad
Vulnerabilidades conocidas
bull Firewall
bull Antivirus
bull Malware
bull Antispy
bull Protocolos de encriptacioacuten
bull Firmas digitales
bull Monitoreo de redes (Comunity Manager)
Consisten en ataques
intercepciones de datos y enviacuteo de
informacioacuten usurpando identidad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 39
Vulnerabilidades
bull Ataques contra el flujo de la informacioacuten FLUJO NORMAL
Los mensajes en una red se enviacutean a partir de un emisor a uno o varios receptores
El atacante es un tercer elemento en la realidad existen millones de elementos atacantesintencionales o accidentales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 40
Emisor Receptor
Atacante
bull INTERRUPCIONbull El mensaje no puede llegar a su destino un recurso del sistema es destruido o
temporalmente inutilizado
bull Este es un ataque contra la Disponibilidad
bull Ejemplos Destruccioacuten de una pieza de hardware cortar los medios de comunicacioacuten o deshabilitar los sistemas de administracioacuten de archivos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 41
Vulnerabilidades
Emisor
Atacante
Receptor
Vulnerabilidades
bull INTERCEPCIONbull Una persona computadora o programa sin autorizacioacuten logra el acceso a un
recurso controlado
bull Es un ataque contra la Confidencialidad
bull Ejemplos Escuchas electroacutenicos copias iliacutecitas de programas o datos escalamiento de privilegios
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 42
Emisor
Atacante
Receptor
Vulnerabilidades
bull MODIFICACIONbull La persona sin autorizacioacuten ademaacutes de lograr el acceso modifica el mensaje
bull Este es un ataque contra la Integridad
bull Ejemplos Alterar la informacioacuten que se transmite desde una base de datos modificar los mensajes entre programas para que se comporten diferente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 43
bull FABRICACIONbull Una persona sin autorizacioacuten inserta objetos falsos en el sistemabull Es un ataque contra la Autenticidadbull Ejemplos Suplantacioacuten de identidades robo de sesiones robo de contrasentildeas
robo de direcciones IP etcbull Es muy difiacutecil estar seguro de quieacuten esta al otro lado de la liacutenea
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 44
Vulnerabilidades
Emisor
Atacante
Receptor
iquestQuienes Atacan los Sistemas
Gobiernos Extranjeros
Espiacuteas industriales o poliacuteticos
Criminales
Empleados descontentos y abusos internos
Adolescentes sin nada que hacer
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 45
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 46
Estado del ataque Ejemplo de Acciones
1-Buacutesqueda de Ingreso Correr un scanner de puertos
2-Penetracioacuten Explorar un sistema sin parches de seguridad
3-Elevacioacuten de Privilegios Lograr cuenta de Administrador
5-Enmascaramiento Borrado de rastros del ingreso y ataque
4-Ataque en si mismo Robo de datos destruccioacuten del sitio web etc
INTRUSO
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 47
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 48
Actuacioacuten del Criminal
bull Se requieren talentos especiales
bull El fraude ha crecido gracias a la aparicioacuten de las computadoras
Mitos
bull Dinero
bull Satisfaccioacuten (egocentrismo)
bull Ideologiacutea
bull Psicosis
Motivaciones personales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 49
bull Ambiente de trabajo
bull Prestaciones
bull Nivel de confianza interpersonal
bull Eacutetica ambiental
bull Nivel de stress
bull AMBIENTE DE CONTROL INTERNO
Motivaciones ambientales
Ethical Hacking
Es una intrusioacuten eacutetica es la aplicacioacuten de herramientas de intrusioacuten penetracioacuten robo personificacioacuten y negacioacuten de servicio llevado a cabo por hackers eacuteticos es decir personas con la experiencia y conocimiento suficiente para llevar a cabo estas pruebas en nombre de la organizacioacuten es decir de manera legal y prevista para determinar el nivel de seguridad de una red de equipos o servicios (incluido el aspecto de ingenieriacutea social)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 50
Ethical Hacking
bull al conocer el nivel de seguridad que se tiene en nuestra organizacioacuten es mucho maacutes sencillo no simple el tomar medidas que puedan subsanar estas deficienciasiquestPor queacute es
Importante
bull No al usar las armas que el enemigo usa es maacutes factible que podamos determinar el nivel de riesgo y por tanto la respuesta que debemos dar ante un ataque vieacutendolo como analogiacutea meacutedica es como cuando nos vacunan pues nos inoculan una versioacuten del virus del cual nos quieren hacer inmunes
iquestNo es contraproducente
bull Al contratar un servicio o realizarlo de manera interna estamos confiando en la eacutetica profesional de quien evaluacutea por lo que siacute siempre llevamos un riesgo pero se establece un contrato de buena fe hacieacutendolo suficientemente fiable (asegurando)iquestEs fiable
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 51
Ejemplos de Criacutemenes Electroacutenicos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 52
Ataque en 1986 de alemanes trabajando para la KGB contra sistemas estrateacutegicos de EEUU (Clifford Stoll Cuckooacutes egg)
El gusano Morris que se propagoacute por internet en 1988
causando un problema de DoS La causa fue la interrupcioacuten
causada por un programa escrito por Robert Tappan Morris
414 Gang enviacutea ataques contra los registros meacutedicos del
hospital para enfermos de caacutencer Sloan-Kettering
Ataques de Kevin Mitnick 1989-1996
Penetracioacuten de la red de Microsoft en octubre de 2000
por un cracker que ganoacute acceso a programas en desarrollo
Esparcimiento del Love Letter difundido por Onel Guzmaacuten en
Filipinas
53
DDoS contra Yahoo Amazon y Zdnet
Muacuteltiples problemas por virus desde
entonces
Target (Robo de informacioacuten de clientes
Identidad y datos financieros)
Juegos del Hambre
Ataque a Sony (Cyberterrorismo) y la
Respuesta con el apagoacuten de internet a
Korea del Norte
Carnabank (Europa oriental europa
occidental EEUU Panamaacute)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
Ejemplos de Criacutemenes Electroacutenicos
Algunas Clases de Ataques
Negacioacuten de Servicio (DoS)
Robo de contrasentildeas
Robo de identidad
Ingenieriacutea social
Defacement
FraudePirateriacutea de
softwareDumpster
divingCoacutedigo
MaliciosoIP spoofing
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 54
Algunas Clases de Ataques
EspionajeDestruccioacuten o alteracioacuten de informacioacuten
Uso de scripts de ataque
desarrolladosPhishing
Ciber -Terrorismo
War DialingWar
DrivingWalkingWar Chalking
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 55
El Caso Carbanak 1MMMUS$
La banda delictiva ciberneacutetica CARBANAK roba mil millones de doacutelares de 100 instituciones financieras en todo el mundo Kaspersky Lab la INTERPOL EUROPOL y autoridades de diferentes paiacuteses han unido sus fuerzas para dejar al descubierto el complot delictivo de un robo ciberneacutetico sin precedentes Hasta mil millones de doacutelares americanos fueron robados en cerca de dos antildeos de instituciones financieras en todo el mundo Los expertos informan que la responsabilidad del robo recae en una banda multinacional de ciberdelincuentesde Rusia Ucrania y otras partes de Europa asiacute como de China
La banda CARBANAK responsable del robo ciberneacutetico utilizoacute teacutecnicas extraiacutedas del arsenal de los ataques selectivos El complot marca el inicio de una nueva etapa en la evolucioacuten de la actividad de delincuencia ciberneacutetica donde usuarios maliciosos roban dinero directamente de los bancos y evitan concentrar sus ataques en los usuarios finales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 56
Comunicado de prensa 160215 - Karpersky
5705062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
MALWARE
El malware es un tipo de software que tiene como objetivo infiltrarse o dantildear un ordenador sistema de informacioacuten sin el consentimiento de su propietario
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 58
POPUP
bull Un pop-up es un tipo de ventana web que aparece delante de la ventana de un navegador al visitar una paacutegina web
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 59
VOLVER
ADWARE
bull Un programa de clase adware es cualquier programa que automaacuteticamente muestra publicidad web al usuario durante su instalacioacuten o durante su uso para generar lucro a sus autores
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 60
SPAM
bull Se llama spam correo basura a los mensajes no solicitados no deseados o de remitente no conocido habitualmente de tipo publicitario generalmente enviados
en grandes cantidades que perjudican al receptor
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 61
Bomba Loacutegica
Son programas informaacuteticos que se instala en un ordenador y permanece oculto hasta cumplirse una o maacutes condiciones preprogramadas para en ese momento ejecutar una accioacuten
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 62
volver
VIRUS DE MACROS
bull Es una secuencia de oacuterdenes de teclado y ratoacuten asignadas a una sola tecla Los virus de macros afectan a archivos y plantillas que los contienen hacieacutendose pasar por una macro y no actuaraacuten hasta que el archivo se abra o utilice
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 63
VOLVER
VIRUS RESIDENTES
bull Se colocan automaacuteticamente en la memoria RAM del ordenador De este modo pueden controlar e interceptar todas las operaciones llevadas a cabo por el sistema operativo infectando todos aquellos ficheros yo programas que sean ejecutados abiertos cerrados renombrados copiados etc
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 64
VIRUS DE ENLACE
bull Modifican las direcciones que permiten a nivel interno acceder a cada uno de los archivos existentes y como consecuencia no es posible localizarlos y trabajar con ellos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 65
VOLVER
VIRUS MUTANTES
bull Son virus que mutan es decir x Debido a estas mutaciones cada generacioacuten de virus es diferente a la versioacuten anterior dificultando asiacute su deteccioacuten y eliminacioacuten
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 66
VIRUS DE BOOT
bull Se activan en el momento en el que se arranca el ordenador desde un disco infectado ya sea desde el disco duro o desde una memoria USB
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 67
VOLVER
VIRUS DE PROGRAMA
bull Comuacutenmente infectan archivos con extensiones EXE COM OVL DRV BIN DLL y SYS
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 68
VOLVER
VIRUS DE SOBREESCRITURA
bull Sobre-escriben en el interior de los archivos atacados haciendo que se pierda el contenido de los mismos
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 69
Ataques de Seguridad
bull Spyware Es un software de computadoraque al instalarse intercepta o toma controlparcial de la interaccioacuten de lacomputadora y el usuario esto sin que elmismo se de cuenta Estos programaspueden recolectar diferentes tipos deinformacioacuten de los usuarios asiacute comoinstalar software adicional sin elconsentimiento de los mismos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 70
71
Herramientas de Seguridad
bull Gusano Es un programa de computadora quepuede replicarse a si mismo utiliza la red paraenviar copias de si mismo a otros nodos y lopuede hacer sin la intervencioacuten del usuario
A diferencia de los ldquovirusrdquo los gusanos nonecesitan estar amarrados a un programa y sufuncioacuten es principalmente dantildear la red (ejdesempentildeo) mientras que los virus dantildeanarchivos en computadoras
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
72
Ataques de Seguridad
bull Caballo de Troya Es una programa que seinstala bajo la creencia de que se estainstalando alguna otra cosa Los troyanosson programas muy utilizados parainstalar programas tipo ldquobackdoorsrdquo quepermiten el acceso no autorizado a lacomputadora atacada un ejemplo deprogramas tipo backdoor son losKeyloogers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
73
Ataques de Seguridad
bull DoS Denial of service- Ataques quehacen indisponible un servicio a losusuarios
bull DDoS Son conocidos como DNSBackbone Distributed Denial ofServices ndash Ataques tienen comoblanco los servidores raiacutez DNS por lotanto afectan uno de los pilares delInternet los nombres de los dominios
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
74
Ataques de Seguridad
bull Footprinting Teacutecnica utilizada para reunir informacioacuten acerca de sistemas computacionales y las entidades a las que pertenece algunos ejemplos son
- Domain queries
- Network queries
- Organizational queries
- TCP scans
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
75
Ataques de Seguridad
bull Fingerprinting Tambieacuten es conocidocomo TCPIP stack fingerprinting y esutilizado para determinar que sistemaoperativo utiliza alguacuten blanco en la redExiste dos tipos de fingerprinting
- Pasivo- Activo
NMAP es una herramienta que utilizafingerprinting activo para mapearpuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
76
Ataques de Seguridad
bull Escaneo de puertos El escaneo depuertos se basa en el FingerprintingActivo es decir transmite y recibesentildeales como ICMP TELNET SNMPdesde un blanco determinado en lared esto con el fin de obtenerinformacioacuten de dicho blanco en estecaso informacioacuten acerca de suspuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
77
Ataques de Seguridad
bull Sniffing Para llevar a cabo el sniffing esnecesario contar con un ldquopacket snifferrdquoque puede ser software instalado en unacomputadora o un dispositivoindependiente (appliance) estedispositivo es utilizado para interceptar yregistrar traacutefico que pasa a traveacutes de unared o de un segmento de la misma(Puede ser de una red ethernet owireless)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
78
Ataques de Seguridad
bull Spoofing Los ataques tipo spoofing sonaquellos en los que una persona oprograma logra hacerse pasar por otrafalsificando informacioacuten o utilizando laingenieriacutea algunos ataques tipo spoofingson los siguientes
- Falsificacioacuten de direccioacuten de email
- Falsificacioacuten de ID de llamadas telefoacutenicas
- Falsificacioacuten de sitios de internet (phishing)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
79
Ataques de Seguridad
bull Phishing Es el uso de teacutecnicas deingenieriacutea social con la finalidad deadquirir de manera fraudulentainformacioacuten confidencial comonombres de usuarios contrasentildeasinformacioacuten de tarjetas de creacutedito
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
80
Ataques de Seguridad
bull Ingenieriacutea Social Se refiere a unacoleccioacuten de teacutecnicas utilizadas paramanipular a las personas para querealicen alguna accioacuten o divulgueninformacioacuten confidencial
Algunos ingenieros sociales notablesson
- Kevin Mitnik
- Frank Abagnale
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
Ingenieriacutea Social
Es el conjunto de meacutetodos y praacutecticas usados para obtener informacioacuten de usuarios legiacutetimos y con la informacioacuten obtenida lograr acceso a sistemas protegidos siendo esta praacutectica de uso comuacuten entre piratas informaacuteticos y delincuentes computacionales
Coacutemo me afecta Al no validar las referencias o no seguir el protocolo de seguridad adecuado para divulgar contrasentildeas o cualquier otra informacioacuten sensible podemos ser coacutemplices de un crimen Meacutexico ha acordado con organismos internacionales la homologacioacuten yo adecuacioacuten de coacutedigos penales para que estos delitos sean perseguidos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 81
Ingenieriacutea Social
Coacutemo puedo saber si estoy siendo viacutectima de un ingeniero social Muy simple cuando alguien nos pide alguacuten tipo de informacioacuten privilegiada y esta persona es insistente cuando le requerimos seguir un protocolo para validar su intencioacuten es altamente probable que estemos siendo viacutectimas de un intento de robo de informacioacuten por un ingeniero socialhacker
Coacutemo puedo evitarlo Sencillo si no confiamos en la persona que nos solicita los datos (supongamos un teacutecnico de soporte de nuestro lugar de trabajo) podemos pedirle que nos deje sus datos y comunicarnos con el 10 minutos despueacutes de validar que la peticioacuten es legiacutetima es decir soacutelo sigamos los protocolos que existen en el trabajo y crear los propios en casa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 82
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra los Sistemas que Utilizan Tecnologiacuteas de Informacioacuten
bull Artiacuteculo 6 Acceso indebido
bull Artiacuteculo 7 Sabotaje o dantildeo a sistemas
bull Artiacuteculo 8 Favorecimiento culposo del sabotaje o dantildeo
bull Artiacuteculo 9 Acceso indebido o sabotaje a sistemas protegidos
bull Artiacuteculo 10 Posesioacuten de equipos o prestacioacuten de servicios de sabotaje
bull Artiacuteculo 11 Espionaje informaacutetico
bull Artiacuteculo 12 Falsificacioacuten de documentos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 83
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Propiedad
bull Artiacuteculo 13 Hurto
bull Artiacuteculo 14 Fraude
bull Artiacuteculo 15 Obtencioacuten indebida de bienes o servicios
bull Artiacuteculo 16 Manejo fraudulento de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 17 Apropiacioacuten de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 18 Provisioacuten indebida de bienes o servicios
bull Artiacuteculo 19 Posesioacuten de equipo para falsificaciones
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 84
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Privacidad de las Personas y de las Comunicaciones
bullArtiacuteculo 20 Violacioacuten de la privacidad de la data o informacioacuten de caraacutecter personal
bullArtiacuteculo 21 Violacioacuten de la privacidad de las comunicaciones
bullArtiacuteculo 22 Revelacioacuten indebida de data o informacioacuten de caraacutecter personal
De los Delitos Contra Nintildeos Nintildeas o Adolescentes
bullArtiacuteculo 23 Difusioacuten o exhibicioacuten de material pornograacutefico
bullArtiacuteculo 24 Exhibicioacuten pornograacutefica de nintildeos o adolescentes
De los Delitos Contra el Orden Econoacutemico
bullArtiacuteculo 25 Apropiacioacuten de propiedad intelectual
bullArtiacuteculo 26 Oferta engantildeosa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 85
Plan de Contingencia Continuidad Operacional
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 86
Plan de Contingencia
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 87
ldquoConjunto de Normas y Procedimientos documentadosy comunicados que tienen por objetivo minimizar los riesgos informaacuteticos mas probablesrdquo
InvolucrabullUso de herramientas
bullCumplimiento de Tareas por
parte de personas
Plan de Contingencia
Consta de tres subplanes independientes
bull Plan de Respaldo crear y conservar en un lugar seguro copias de seguridad de la informacioacuten
bull Pla de Emergencia queacute medidas tomar cuando se estaacute materializando una amenaza o cuando acaba de producirse
bull Plan de Recuperacioacuten medidas que se aplicaran cuando se ha producido un desastre El objetivo es evaluar el impacto y regresar lo antes posible
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 88
Plan de Contingencia
En la elaboracioacuten de este plan no se puede dejar por fuera a los miembros de la organizacioacuten el cual debe estar informado y entrenado para actuar en las funciones que le hayan sido encomendadas en caso de producirse una amenaza o impacto
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 89
Continuidad Operacional
Business Continuity Planning (Plan de Continuidad de negocios)
bull Plan Baacutesico
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Coldsite)
bull Plan Intermedio
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan Alto
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan de respuesta y continuidad de negocios alternativo (sin asistencia de sistemas)
bull Stress Testing al Plan
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 90
El Stress Testing
bull Poner a prueba el planbull Revise y evalueacute
bull Respaldosbull Oportunidad integridad y funcionalidadbull Custodia y transporte
bull Cold y Hotsitebull Funcionalidad accesibilidad y compatibilidadbull Actualizacioacuten oportuna (hotsite)
bull Personalbull Roles y funcionesbull Accesibilidad (contactos y comunicaciones)
bull Simulacioacuten de cataacutestrofesbull Sin previo aviso el director encargado del BCP se presenta en el centro de computo
cronometro en mano y baja la cuchilla de electricidad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 91
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de Lehman Brothers
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el WorldTrade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehman se desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del World Trade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehman teniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 92
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de LehmanBrothers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 93
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el World Trade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehmanse desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 94
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del WorldTrade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehmanteniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 95
La Contingencia Manual la Uacuteltima Frontera
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 96
05062015 97
DATOS BAacuteSICOS
Responsable A Nivel Corporativo Responsable(s) A Nivel Regional
PROVEEDOR (ES)
Origen Responsable Insumo (s)
RESULTADOS
Normas y Procedimientos Asociados Fecha uacuteltima revisioacuten Sistemas Aplicaciones Asociadas
Proceso
CALIFICACIOacuteN DE CONTROLES DE ENTRADA
Actividad
RECOMENDACIONES
Procesamiento
Automaacutetico (A)Manual (M)
Frecuencia
Adiestramiento Proceso Sistema N y P Otros
Negocio Area Localidad
Responsable
Nombre CargoNombre Cargo
NOMBRE
ELABORADO POR
CARGO FIRMA
Calidad de Data (B) Buena (R) Regular (M) Mala Oportunidad (AT) A Tiempo (R) Retrasada Revisioacuten Aprobacioacuten (S) Si (N) NoLEYENDA
Calificacioacuten (F) Fuerte (M) Medio (B) Bajo
DescripcioacutenResponsableDescripcioacuten
Tarea
Descripcioacuten
FRECUENCIA DE LA TAREA Diaria (D) Semanal (S) Mensual (M) Trimestral (T) Anual (A) Ocasional (O)
Soportes Recepcioacuten (P) Papel (E) Electroacutenico Archivo (S) Si (N) No Soportes Enviacuteo (S) Si (N) No Backup (S) Si (N) No
Producto (s) Cliente ReceptorControl
de salida
SoportesFrecuencia
Recepcioacuten Backup
DOCUMENTOS SISTEMAS ASOCIADOS A LOS CONTROLES
CALIFICACIOacuteN DE CONTROLES (por parte del Cliente Receptor)
Revisioacuten
Aprobacioacuten
Revisioacuten
AprobacioacutenTipo de control
Procesamiento
Automaacutetico (A)Manual (M)
Control
De EntradaTipo de control
Soportes
Recepcioacuten Archivo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 98
DATOS BAacuteSICOS
TareaActividad
Proceso Responsable del Proceso
Fecha de Elaboracioacuten 2015
Accioacuten (es) Responsable (s)
OBSERVACIONES ELABORADO POR
FIRMA
NOMBRE
Plan de recuperacioacuten y Reactivacioacuten de Finanzas
Recomendaciones Acciones
La Cadena de Valor de una Organizacioacuten de Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 99
ASESORAR EN CONTROLES DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR DELEGACIONES FINANCIERAS
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
CONTROLAR SEGURIDAD SISTEMA
OPERACIONALES ADMINISTRATIVOS Y OTROS
SISTEMAS FINANCIEROS
DESARROLLAR CONTROLES
DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR Y DESARROLLAR PLAN INTEGRAL DE CONTROL ( PIC )
Asesorar en controles de procesos normas y
Procedimientos
Administrar delegaciones financieras
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
Controlar seguridad sistema
operacionales administrativos y otros
sistemas financieros
Desarrollar
controles de
procesos
normas y
procedimientos
Administrar y desarrollar plan integral de control ( PIC )
Seguridad de Informacioacuten Modelo PDCA
bull PLANIFICAR (Plan) consiste en establecer el contexto en el se crean las poliacuteticas de seguridad se hace el anaacutelisis de riesgos se hace la seleccioacuten de controles y el estado de aplicabilidad
bull HACER (Do) consiste en implementar el sistema de gestioacuten de seguridad de la informacioacuten implementar el plan de riesgos e implementar los controles
bull VERIFICAR (Check) consiste en monitorear las actividades y hacer auditoriacuteas internas
bull ACTUAR (Act) consiste en ejecutar tareas de mantenimiento propuestas de mejora acciones preventivas y acciones correctivas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 9
Seguridad de Informacioacuten Modelo PDCA
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 10
bull Compromiso de la Direccioacutenbull Planificacioacutenbull Fechasbull Responsables
bull Definir alcance del SGSIbull Definir Poliacutetica de Seguridadbull Metodologiacutea de evaluacioacuten de riesgosbull Inventario de activosbull Identificar amenazas y vulnerabilidadesbull Identificar impactosbull Anaacutelisis y evaluacioacuten de riesgosbull Selccioacuten de controles
bull Definir plan de tratamiento de riesgos
bull Implantar plan de tratamiento de riesgos
bull Implementar los controlesbull Formacioacuten y concienciacioacutenbull Operar el SGSI
bull Implementar mejorasbullAcciones correctivasbullAcciones preventivasbullComprobar eficacia de las acciones
bull Revisar el SGSIbull Medir eficacia de los controlesbull Revisar riesgos residualesbull Realizar auditoriacuteas internas del
SGSIbull Registrar acciones y eventos
iquestQueacute es la seguridad informaacutetica
Poliacuteticas procedimientos y teacutecnicas para asegurar la integridad disponibilidad y confiabilidad de datos y sistemas
Prevenir y detectar amenazas Responder de una forma adecuada y con prontitud ante un incidente
Proteger y Mantener los sistemas funcionando
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 11
iquestQueacute se debe garantizar
bull Confidencialidad Se garantiza que la informacioacuten es accesible soacutelo a aquellas personas autorizadas a tener acceso a la misma
bull Integridad Se salvaguarda la exactitud y totalidad de la informacioacuten y los meacutetodos de procesamiento
bull Disponibilidad Se garantiza que los usuarios autorizados tienen acceso a la informacioacuten y a los recursos relacionados con la misma toda vez que se requiera
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 12
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 13
iquestQueacute es una poliacutetica de seguridad
Una directriz que contendraacute los objetivos de la empresa en materia de seguridad del sistema de informacioacuten
Estos objetivos se engloban en cuatro grupos
bull Identificar
bull Relacionar
bull Proporcionar
bull Detectar
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 14
Alcance de la Poliacutetica de Seguridad
bullNecesidades de seguridad
bullRiesgos que amenazan el sistema
bull Impactos ante un ataque ndashevaluarlos-Identificar
bullMedidas de seguridad para afrontar riesgos de activos o grupos de activosRelacionar
bullPerspectiva general de las reglas y procedimientos para afrontar riesgos identificados en los diferentes departamentosProporcionar
bullVulnerabilidades del sistema de informacioacuten
bullControlar los fallos producidosDetectar
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 15
Anaacutelisis de Riesgo
Estrategias de Recuperacioacuten
Desarrollo de las Estrategias
Desarrollo de los Procedimientos
Pruebas y Entrenamiento
Plan de Mantenimiento
Consecuencia de la Poliacutetica de Seguridad
bull La definicioacuten del plan de contingencias es uno de los resultados y parte de la poliacutetica de seguridad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 16
Esta norma define una poliacutetica de autorizacioacuten geneacuterica la cual puede formularse de la siguiente forma
ldquoLa informacioacuten no puede darse ni puede permitirse el acceso a ella ni se puede permitir que sea inferida ni se puede utilizar ninguacuten recurso por parte de personas o entidades que no estaacuten autorizadas de forma apropiadardquo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 17
bull Determinacioacuten del acceso y uso de los recursos en base a las identidades de los usuarios y recursos
Poliacuteticas Basadas en Identidad
bull El acceso a los recursos se controla a traveacutes de reglas globales impuestas a todos los usuarios por ejemplo utilizando etiquetas de seguridad
Poliacuteticas Basadas en Reglas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 18
bull Autenticacioacuten tanto de entidades como de origen
bull Control de acceso
bull Confidencialidad de los datos
bull Integridad de los datos
bull No repudio
Define cinco categoriacuteas principales de servicios
de seguridad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 19
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 20
Propietariosvaloran
Quieren minimizar
Salvaguardasdefinen
Pueden tener conciencia de
Amenazasexplotan
VulnerabilidadesPermiten o facilitan
Dantildeo
RECURSOSQue pueden tener
Reducen
RIESGO
Fecha __ __ __
Componente Supervisioacuten
Formulario nuacutemero 6 - Mapeo de Riesgos resultado de la evaluacioacuten de Efectividad Eficiencia y Cumplimiento de los Controles
Fecha ________
Entidad evaluada _____________ Proceso _____________________________________Sub Proceso_______________________________________Etapa sub proceso________________________
Elaborado por____________________________________Aprobado Por_________________________________ Pag __ de __
8 500
3 300
0
3
6
9
12
0 3 6 9 12
PR
OB
AB
ILID
AD
IMPACTO
MAPA DE RIESGOS
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 21
Responsabilidad de la Gerencia
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 22
Seguridad Informaacutetica ISOIEC 27001
ldquoLa seguridad informaacutetica consiste en la implantacioacuten de un conjunto de medidas teacutecnicas destinadas a preservar la confidencialidad la integridad y la disponibilidad de la informacioacuten pudiendo ademaacutes abarcar otras propiedades como la autenticidad la responsabilidad la fiabilidad y el no repudiordquo
Es la definicioacuten ofrecida por el estaacutendar para la seguridad de la informacioacuten ISOIEC 27001 aprobado y publicado en octubre de 2005 por la International Organization for Standardization (ISO) y por la comisioacuten International Electrotechnical Commission (IEC)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 23
Estructura Organizacional
Poliacutetica de Seguridad
Organizacioacuten de la Seguridad de la Informacioacuten
Gestioacuten de Activos Control de Acceso
Cumplimiento Conformidad Informacioacuten de gestioacuten de incidentes de seguridad
Seguridad de los recursos humanos
Gestioacuten de continuidad del negocio
Sistemas de Informacioacuten de adquisicioacuten desarrollo y mantenimiento
Comunicacioacuten y gestioacuten de operaciones
Seguridad fiacutesica y ambiental
Los 11 dominios de la ISOIEC 27001bull Poliacutetica de Seguridadbull Organizacioacuten de la seguridad de la
informacioacutenbull Gestioacuten de Activosbull Seguridad de los recursos humanosbull Seguridad fiacutesica y ambientalbull Comunicacioacuten y gestioacuten de
operacionesbull Control de accesobull Sistemas de informacioacuten de
adquisicioacuten desarrollo y mantenimiento
bull Informacioacuten de gestioacuten de incidentes de seguridad
bull Gestioacuten de continuidad del negociobull Cumplimiento Conformidad
Gerencia
Operaciones
Leyenda
Aspectos Gerenciales
Aspectos Teacutecnicos
Aspectos Fiacutesicos
Riesgos Amenazas
VulnerabilidadesGestioacuten de Riesgos en TI
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 25
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 26
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 27
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
DE ATAQUES INTERNOS PARA DANtildeAR DATOS O SISTEMAS FRAUDES ERRORES EN EL MANEJO DE
SISTEMAS
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 28
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 29
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 30
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 31
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Seguridad Informaacutetica a Nivel de Usuarios
bull Los usuarios se acostumbran a usar la tecnologiacutea sin saber como funciona o de los riesgos que pueden correr
bull Son el punto de entrada de muchos de los problemas croacutenicos
bull Son ldquoEl eslaboacuten maacutes deacutebilrdquo en la cadena de seguridad
Usuarios comunes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 32
Seguridad Informaacutetica a Nivel de Usuarios
bull Principio del MENOR PRIVILEGIO POSIBLE
bull EDUCAR AL USUARIO
Dos enfoques para
controlarlos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 33
Seguridad Informaacutetica a Nivel de Usuarios
Principio del MENOR PRIVILEGIO POSIBLE Implica seguridad de
acceso al sistema (usuario password perfiles de usuario de
manera transaccional ndash seguridad por posicioacuten workflow)
bull Reducir la capacidad de accioacuten del usuario sobre los sistemas
bull Objetivo Lograr el menor dantildeo posible en caso de incidentes
Administracioacuten de privilegios
bull Usuarios uacutenicos e intransferibles
bull Procesos de desactivacioacuten de cuentas y activacioacuten del reemplazo (en periacuteodos vacacionales y de reposos)
bull Administracioacuten de claves de acceso
bull Alfanumeacutericas + caracteres especiales + mayuacutesculas minuacutesculas
bull Caducidad
bull Bloqueo por intentos fallidos
bull Prohibicioacuten de palabras y datos de uso comuacuten o asociadas al usuario
bull Reseteo de clave de forma automaacutetica con preguntas de desafiacuteo (pe usando datos encriptados que solo el usuario conoce como fecha de ingreso a la empresa)
bull Perfil de usuario
bull De acuerdo a la actividad y delegacioacuten de autoridad de acuerdo a su posicioacuten y responsabilidades
bull Esquemas de proteccioacuten de datos e informacioacuten (Privado Confidencial y Estrictamente Privado y Confidencial) seguacuten la posicioacuten y actividades (previendo delincuencia comuacuten o DDOO)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 34
Seguridad Informaacutetica a Nivel de Usuarios
EDUCAR AL USUARIO
bull Documentar y publicar todas las normas y procedimientos asociados
bull Generar una cultura de seguridad El usuario ayuda a reforzar y aplicar los mecanismos de seguridad
bull Objetivo Reducir el nuacutemero de incidentes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 35
Adicionales a los que ya
se mostroacute para
usuarios comunes se
debe
bull Seguridad de acceso a las instalaciones (aacuterea de desarrollo y aacuterea de servidores o main frame)
bull Poliacutetica de respaldo de informacioacuten y programas que incluyan backups in situ outside a modo copia espejo e incremental (solo variaciones)
bull Poliacuteticas de sustraccioacuten de datos incluyendo el uso de CDROM y Pendrivers (Wikiliks)
bull Crear ambientes de desarrollo de software aislados de los ambientes de produccioacuten (operaciones de la empresa) y de prueba Crear ambientes de prueba con participacioacuten funcional
bull Crear protocolos de procesos de cambio (implantacioacuten de sistemas actualizacioacuten de software incluidos los sistemas operativos) que incluyan respaldo total de programas y datos a modo espejo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 36
Seguridad Informaacutetica a Nivel de Usuarios
Vulnerabilidad
bull En un sistema informaacutetico lo que queremos proteger son sus activos es decir los recursos que forman parte del sistema y que podemos agrupar enbull - Hardware - Software
bull - Datos - Otros
bull Los mas criacuteticos son los datos el hardware y el software Es decir los datos que estaacuten almacenados en el hardware y que son procesados por las aplicaciones software
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 37
Vulnerabilidad
bull Es la debilidad de cualquier tipo que compromete la seguridad del sistema informaacutetico
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 38
Disentildeobull Debilidad en el disentildeo de protocolos utilizados en las redes
bull Poliacuteticas de seguridad deficientes e inexistentes
Implementacioacuten
bull Errores de programacioacuten
bull Existencia de ldquopuertas traserasrdquo en los sistemas informaacuteticos
bull Descuido de los fabricantes
Uso
bull Mala configuracioacuten de los sistemas informaacuteticos
bull Desconocimiento y falta de sensibilizacioacuten de los usuarios y de los responsables de informaacutetica
bull Disponibilidad de herramientas que facilitan los ataques
bull Limitacioacuten gubernamental de tecnologiacuteas de seguridad
Vulnerabilidades conocidas
bull Firewall
bull Antivirus
bull Malware
bull Antispy
bull Protocolos de encriptacioacuten
bull Firmas digitales
bull Monitoreo de redes (Comunity Manager)
Consisten en ataques
intercepciones de datos y enviacuteo de
informacioacuten usurpando identidad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 39
Vulnerabilidades
bull Ataques contra el flujo de la informacioacuten FLUJO NORMAL
Los mensajes en una red se enviacutean a partir de un emisor a uno o varios receptores
El atacante es un tercer elemento en la realidad existen millones de elementos atacantesintencionales o accidentales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 40
Emisor Receptor
Atacante
bull INTERRUPCIONbull El mensaje no puede llegar a su destino un recurso del sistema es destruido o
temporalmente inutilizado
bull Este es un ataque contra la Disponibilidad
bull Ejemplos Destruccioacuten de una pieza de hardware cortar los medios de comunicacioacuten o deshabilitar los sistemas de administracioacuten de archivos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 41
Vulnerabilidades
Emisor
Atacante
Receptor
Vulnerabilidades
bull INTERCEPCIONbull Una persona computadora o programa sin autorizacioacuten logra el acceso a un
recurso controlado
bull Es un ataque contra la Confidencialidad
bull Ejemplos Escuchas electroacutenicos copias iliacutecitas de programas o datos escalamiento de privilegios
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 42
Emisor
Atacante
Receptor
Vulnerabilidades
bull MODIFICACIONbull La persona sin autorizacioacuten ademaacutes de lograr el acceso modifica el mensaje
bull Este es un ataque contra la Integridad
bull Ejemplos Alterar la informacioacuten que se transmite desde una base de datos modificar los mensajes entre programas para que se comporten diferente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 43
bull FABRICACIONbull Una persona sin autorizacioacuten inserta objetos falsos en el sistemabull Es un ataque contra la Autenticidadbull Ejemplos Suplantacioacuten de identidades robo de sesiones robo de contrasentildeas
robo de direcciones IP etcbull Es muy difiacutecil estar seguro de quieacuten esta al otro lado de la liacutenea
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 44
Vulnerabilidades
Emisor
Atacante
Receptor
iquestQuienes Atacan los Sistemas
Gobiernos Extranjeros
Espiacuteas industriales o poliacuteticos
Criminales
Empleados descontentos y abusos internos
Adolescentes sin nada que hacer
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 45
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 46
Estado del ataque Ejemplo de Acciones
1-Buacutesqueda de Ingreso Correr un scanner de puertos
2-Penetracioacuten Explorar un sistema sin parches de seguridad
3-Elevacioacuten de Privilegios Lograr cuenta de Administrador
5-Enmascaramiento Borrado de rastros del ingreso y ataque
4-Ataque en si mismo Robo de datos destruccioacuten del sitio web etc
INTRUSO
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 47
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 48
Actuacioacuten del Criminal
bull Se requieren talentos especiales
bull El fraude ha crecido gracias a la aparicioacuten de las computadoras
Mitos
bull Dinero
bull Satisfaccioacuten (egocentrismo)
bull Ideologiacutea
bull Psicosis
Motivaciones personales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 49
bull Ambiente de trabajo
bull Prestaciones
bull Nivel de confianza interpersonal
bull Eacutetica ambiental
bull Nivel de stress
bull AMBIENTE DE CONTROL INTERNO
Motivaciones ambientales
Ethical Hacking
Es una intrusioacuten eacutetica es la aplicacioacuten de herramientas de intrusioacuten penetracioacuten robo personificacioacuten y negacioacuten de servicio llevado a cabo por hackers eacuteticos es decir personas con la experiencia y conocimiento suficiente para llevar a cabo estas pruebas en nombre de la organizacioacuten es decir de manera legal y prevista para determinar el nivel de seguridad de una red de equipos o servicios (incluido el aspecto de ingenieriacutea social)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 50
Ethical Hacking
bull al conocer el nivel de seguridad que se tiene en nuestra organizacioacuten es mucho maacutes sencillo no simple el tomar medidas que puedan subsanar estas deficienciasiquestPor queacute es
Importante
bull No al usar las armas que el enemigo usa es maacutes factible que podamos determinar el nivel de riesgo y por tanto la respuesta que debemos dar ante un ataque vieacutendolo como analogiacutea meacutedica es como cuando nos vacunan pues nos inoculan una versioacuten del virus del cual nos quieren hacer inmunes
iquestNo es contraproducente
bull Al contratar un servicio o realizarlo de manera interna estamos confiando en la eacutetica profesional de quien evaluacutea por lo que siacute siempre llevamos un riesgo pero se establece un contrato de buena fe hacieacutendolo suficientemente fiable (asegurando)iquestEs fiable
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 51
Ejemplos de Criacutemenes Electroacutenicos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 52
Ataque en 1986 de alemanes trabajando para la KGB contra sistemas estrateacutegicos de EEUU (Clifford Stoll Cuckooacutes egg)
El gusano Morris que se propagoacute por internet en 1988
causando un problema de DoS La causa fue la interrupcioacuten
causada por un programa escrito por Robert Tappan Morris
414 Gang enviacutea ataques contra los registros meacutedicos del
hospital para enfermos de caacutencer Sloan-Kettering
Ataques de Kevin Mitnick 1989-1996
Penetracioacuten de la red de Microsoft en octubre de 2000
por un cracker que ganoacute acceso a programas en desarrollo
Esparcimiento del Love Letter difundido por Onel Guzmaacuten en
Filipinas
53
DDoS contra Yahoo Amazon y Zdnet
Muacuteltiples problemas por virus desde
entonces
Target (Robo de informacioacuten de clientes
Identidad y datos financieros)
Juegos del Hambre
Ataque a Sony (Cyberterrorismo) y la
Respuesta con el apagoacuten de internet a
Korea del Norte
Carnabank (Europa oriental europa
occidental EEUU Panamaacute)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
Ejemplos de Criacutemenes Electroacutenicos
Algunas Clases de Ataques
Negacioacuten de Servicio (DoS)
Robo de contrasentildeas
Robo de identidad
Ingenieriacutea social
Defacement
FraudePirateriacutea de
softwareDumpster
divingCoacutedigo
MaliciosoIP spoofing
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 54
Algunas Clases de Ataques
EspionajeDestruccioacuten o alteracioacuten de informacioacuten
Uso de scripts de ataque
desarrolladosPhishing
Ciber -Terrorismo
War DialingWar
DrivingWalkingWar Chalking
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 55
El Caso Carbanak 1MMMUS$
La banda delictiva ciberneacutetica CARBANAK roba mil millones de doacutelares de 100 instituciones financieras en todo el mundo Kaspersky Lab la INTERPOL EUROPOL y autoridades de diferentes paiacuteses han unido sus fuerzas para dejar al descubierto el complot delictivo de un robo ciberneacutetico sin precedentes Hasta mil millones de doacutelares americanos fueron robados en cerca de dos antildeos de instituciones financieras en todo el mundo Los expertos informan que la responsabilidad del robo recae en una banda multinacional de ciberdelincuentesde Rusia Ucrania y otras partes de Europa asiacute como de China
La banda CARBANAK responsable del robo ciberneacutetico utilizoacute teacutecnicas extraiacutedas del arsenal de los ataques selectivos El complot marca el inicio de una nueva etapa en la evolucioacuten de la actividad de delincuencia ciberneacutetica donde usuarios maliciosos roban dinero directamente de los bancos y evitan concentrar sus ataques en los usuarios finales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 56
Comunicado de prensa 160215 - Karpersky
5705062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
MALWARE
El malware es un tipo de software que tiene como objetivo infiltrarse o dantildear un ordenador sistema de informacioacuten sin el consentimiento de su propietario
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 58
POPUP
bull Un pop-up es un tipo de ventana web que aparece delante de la ventana de un navegador al visitar una paacutegina web
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 59
VOLVER
ADWARE
bull Un programa de clase adware es cualquier programa que automaacuteticamente muestra publicidad web al usuario durante su instalacioacuten o durante su uso para generar lucro a sus autores
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 60
SPAM
bull Se llama spam correo basura a los mensajes no solicitados no deseados o de remitente no conocido habitualmente de tipo publicitario generalmente enviados
en grandes cantidades que perjudican al receptor
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 61
Bomba Loacutegica
Son programas informaacuteticos que se instala en un ordenador y permanece oculto hasta cumplirse una o maacutes condiciones preprogramadas para en ese momento ejecutar una accioacuten
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 62
volver
VIRUS DE MACROS
bull Es una secuencia de oacuterdenes de teclado y ratoacuten asignadas a una sola tecla Los virus de macros afectan a archivos y plantillas que los contienen hacieacutendose pasar por una macro y no actuaraacuten hasta que el archivo se abra o utilice
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 63
VOLVER
VIRUS RESIDENTES
bull Se colocan automaacuteticamente en la memoria RAM del ordenador De este modo pueden controlar e interceptar todas las operaciones llevadas a cabo por el sistema operativo infectando todos aquellos ficheros yo programas que sean ejecutados abiertos cerrados renombrados copiados etc
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 64
VIRUS DE ENLACE
bull Modifican las direcciones que permiten a nivel interno acceder a cada uno de los archivos existentes y como consecuencia no es posible localizarlos y trabajar con ellos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 65
VOLVER
VIRUS MUTANTES
bull Son virus que mutan es decir x Debido a estas mutaciones cada generacioacuten de virus es diferente a la versioacuten anterior dificultando asiacute su deteccioacuten y eliminacioacuten
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 66
VIRUS DE BOOT
bull Se activan en el momento en el que se arranca el ordenador desde un disco infectado ya sea desde el disco duro o desde una memoria USB
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 67
VOLVER
VIRUS DE PROGRAMA
bull Comuacutenmente infectan archivos con extensiones EXE COM OVL DRV BIN DLL y SYS
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 68
VOLVER
VIRUS DE SOBREESCRITURA
bull Sobre-escriben en el interior de los archivos atacados haciendo que se pierda el contenido de los mismos
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 69
Ataques de Seguridad
bull Spyware Es un software de computadoraque al instalarse intercepta o toma controlparcial de la interaccioacuten de lacomputadora y el usuario esto sin que elmismo se de cuenta Estos programaspueden recolectar diferentes tipos deinformacioacuten de los usuarios asiacute comoinstalar software adicional sin elconsentimiento de los mismos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 70
71
Herramientas de Seguridad
bull Gusano Es un programa de computadora quepuede replicarse a si mismo utiliza la red paraenviar copias de si mismo a otros nodos y lopuede hacer sin la intervencioacuten del usuario
A diferencia de los ldquovirusrdquo los gusanos nonecesitan estar amarrados a un programa y sufuncioacuten es principalmente dantildear la red (ejdesempentildeo) mientras que los virus dantildeanarchivos en computadoras
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
72
Ataques de Seguridad
bull Caballo de Troya Es una programa que seinstala bajo la creencia de que se estainstalando alguna otra cosa Los troyanosson programas muy utilizados parainstalar programas tipo ldquobackdoorsrdquo quepermiten el acceso no autorizado a lacomputadora atacada un ejemplo deprogramas tipo backdoor son losKeyloogers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
73
Ataques de Seguridad
bull DoS Denial of service- Ataques quehacen indisponible un servicio a losusuarios
bull DDoS Son conocidos como DNSBackbone Distributed Denial ofServices ndash Ataques tienen comoblanco los servidores raiacutez DNS por lotanto afectan uno de los pilares delInternet los nombres de los dominios
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
74
Ataques de Seguridad
bull Footprinting Teacutecnica utilizada para reunir informacioacuten acerca de sistemas computacionales y las entidades a las que pertenece algunos ejemplos son
- Domain queries
- Network queries
- Organizational queries
- TCP scans
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
75
Ataques de Seguridad
bull Fingerprinting Tambieacuten es conocidocomo TCPIP stack fingerprinting y esutilizado para determinar que sistemaoperativo utiliza alguacuten blanco en la redExiste dos tipos de fingerprinting
- Pasivo- Activo
NMAP es una herramienta que utilizafingerprinting activo para mapearpuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
76
Ataques de Seguridad
bull Escaneo de puertos El escaneo depuertos se basa en el FingerprintingActivo es decir transmite y recibesentildeales como ICMP TELNET SNMPdesde un blanco determinado en lared esto con el fin de obtenerinformacioacuten de dicho blanco en estecaso informacioacuten acerca de suspuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
77
Ataques de Seguridad
bull Sniffing Para llevar a cabo el sniffing esnecesario contar con un ldquopacket snifferrdquoque puede ser software instalado en unacomputadora o un dispositivoindependiente (appliance) estedispositivo es utilizado para interceptar yregistrar traacutefico que pasa a traveacutes de unared o de un segmento de la misma(Puede ser de una red ethernet owireless)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
78
Ataques de Seguridad
bull Spoofing Los ataques tipo spoofing sonaquellos en los que una persona oprograma logra hacerse pasar por otrafalsificando informacioacuten o utilizando laingenieriacutea algunos ataques tipo spoofingson los siguientes
- Falsificacioacuten de direccioacuten de email
- Falsificacioacuten de ID de llamadas telefoacutenicas
- Falsificacioacuten de sitios de internet (phishing)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
79
Ataques de Seguridad
bull Phishing Es el uso de teacutecnicas deingenieriacutea social con la finalidad deadquirir de manera fraudulentainformacioacuten confidencial comonombres de usuarios contrasentildeasinformacioacuten de tarjetas de creacutedito
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
80
Ataques de Seguridad
bull Ingenieriacutea Social Se refiere a unacoleccioacuten de teacutecnicas utilizadas paramanipular a las personas para querealicen alguna accioacuten o divulgueninformacioacuten confidencial
Algunos ingenieros sociales notablesson
- Kevin Mitnik
- Frank Abagnale
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
Ingenieriacutea Social
Es el conjunto de meacutetodos y praacutecticas usados para obtener informacioacuten de usuarios legiacutetimos y con la informacioacuten obtenida lograr acceso a sistemas protegidos siendo esta praacutectica de uso comuacuten entre piratas informaacuteticos y delincuentes computacionales
Coacutemo me afecta Al no validar las referencias o no seguir el protocolo de seguridad adecuado para divulgar contrasentildeas o cualquier otra informacioacuten sensible podemos ser coacutemplices de un crimen Meacutexico ha acordado con organismos internacionales la homologacioacuten yo adecuacioacuten de coacutedigos penales para que estos delitos sean perseguidos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 81
Ingenieriacutea Social
Coacutemo puedo saber si estoy siendo viacutectima de un ingeniero social Muy simple cuando alguien nos pide alguacuten tipo de informacioacuten privilegiada y esta persona es insistente cuando le requerimos seguir un protocolo para validar su intencioacuten es altamente probable que estemos siendo viacutectimas de un intento de robo de informacioacuten por un ingeniero socialhacker
Coacutemo puedo evitarlo Sencillo si no confiamos en la persona que nos solicita los datos (supongamos un teacutecnico de soporte de nuestro lugar de trabajo) podemos pedirle que nos deje sus datos y comunicarnos con el 10 minutos despueacutes de validar que la peticioacuten es legiacutetima es decir soacutelo sigamos los protocolos que existen en el trabajo y crear los propios en casa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 82
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra los Sistemas que Utilizan Tecnologiacuteas de Informacioacuten
bull Artiacuteculo 6 Acceso indebido
bull Artiacuteculo 7 Sabotaje o dantildeo a sistemas
bull Artiacuteculo 8 Favorecimiento culposo del sabotaje o dantildeo
bull Artiacuteculo 9 Acceso indebido o sabotaje a sistemas protegidos
bull Artiacuteculo 10 Posesioacuten de equipos o prestacioacuten de servicios de sabotaje
bull Artiacuteculo 11 Espionaje informaacutetico
bull Artiacuteculo 12 Falsificacioacuten de documentos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 83
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Propiedad
bull Artiacuteculo 13 Hurto
bull Artiacuteculo 14 Fraude
bull Artiacuteculo 15 Obtencioacuten indebida de bienes o servicios
bull Artiacuteculo 16 Manejo fraudulento de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 17 Apropiacioacuten de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 18 Provisioacuten indebida de bienes o servicios
bull Artiacuteculo 19 Posesioacuten de equipo para falsificaciones
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 84
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Privacidad de las Personas y de las Comunicaciones
bullArtiacuteculo 20 Violacioacuten de la privacidad de la data o informacioacuten de caraacutecter personal
bullArtiacuteculo 21 Violacioacuten de la privacidad de las comunicaciones
bullArtiacuteculo 22 Revelacioacuten indebida de data o informacioacuten de caraacutecter personal
De los Delitos Contra Nintildeos Nintildeas o Adolescentes
bullArtiacuteculo 23 Difusioacuten o exhibicioacuten de material pornograacutefico
bullArtiacuteculo 24 Exhibicioacuten pornograacutefica de nintildeos o adolescentes
De los Delitos Contra el Orden Econoacutemico
bullArtiacuteculo 25 Apropiacioacuten de propiedad intelectual
bullArtiacuteculo 26 Oferta engantildeosa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 85
Plan de Contingencia Continuidad Operacional
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 86
Plan de Contingencia
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 87
ldquoConjunto de Normas y Procedimientos documentadosy comunicados que tienen por objetivo minimizar los riesgos informaacuteticos mas probablesrdquo
InvolucrabullUso de herramientas
bullCumplimiento de Tareas por
parte de personas
Plan de Contingencia
Consta de tres subplanes independientes
bull Plan de Respaldo crear y conservar en un lugar seguro copias de seguridad de la informacioacuten
bull Pla de Emergencia queacute medidas tomar cuando se estaacute materializando una amenaza o cuando acaba de producirse
bull Plan de Recuperacioacuten medidas que se aplicaran cuando se ha producido un desastre El objetivo es evaluar el impacto y regresar lo antes posible
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 88
Plan de Contingencia
En la elaboracioacuten de este plan no se puede dejar por fuera a los miembros de la organizacioacuten el cual debe estar informado y entrenado para actuar en las funciones que le hayan sido encomendadas en caso de producirse una amenaza o impacto
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 89
Continuidad Operacional
Business Continuity Planning (Plan de Continuidad de negocios)
bull Plan Baacutesico
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Coldsite)
bull Plan Intermedio
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan Alto
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan de respuesta y continuidad de negocios alternativo (sin asistencia de sistemas)
bull Stress Testing al Plan
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 90
El Stress Testing
bull Poner a prueba el planbull Revise y evalueacute
bull Respaldosbull Oportunidad integridad y funcionalidadbull Custodia y transporte
bull Cold y Hotsitebull Funcionalidad accesibilidad y compatibilidadbull Actualizacioacuten oportuna (hotsite)
bull Personalbull Roles y funcionesbull Accesibilidad (contactos y comunicaciones)
bull Simulacioacuten de cataacutestrofesbull Sin previo aviso el director encargado del BCP se presenta en el centro de computo
cronometro en mano y baja la cuchilla de electricidad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 91
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de Lehman Brothers
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el WorldTrade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehman se desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del World Trade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehman teniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 92
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de LehmanBrothers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 93
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el World Trade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehmanse desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 94
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del WorldTrade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehmanteniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 95
La Contingencia Manual la Uacuteltima Frontera
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 96
05062015 97
DATOS BAacuteSICOS
Responsable A Nivel Corporativo Responsable(s) A Nivel Regional
PROVEEDOR (ES)
Origen Responsable Insumo (s)
RESULTADOS
Normas y Procedimientos Asociados Fecha uacuteltima revisioacuten Sistemas Aplicaciones Asociadas
Proceso
CALIFICACIOacuteN DE CONTROLES DE ENTRADA
Actividad
RECOMENDACIONES
Procesamiento
Automaacutetico (A)Manual (M)
Frecuencia
Adiestramiento Proceso Sistema N y P Otros
Negocio Area Localidad
Responsable
Nombre CargoNombre Cargo
NOMBRE
ELABORADO POR
CARGO FIRMA
Calidad de Data (B) Buena (R) Regular (M) Mala Oportunidad (AT) A Tiempo (R) Retrasada Revisioacuten Aprobacioacuten (S) Si (N) NoLEYENDA
Calificacioacuten (F) Fuerte (M) Medio (B) Bajo
DescripcioacutenResponsableDescripcioacuten
Tarea
Descripcioacuten
FRECUENCIA DE LA TAREA Diaria (D) Semanal (S) Mensual (M) Trimestral (T) Anual (A) Ocasional (O)
Soportes Recepcioacuten (P) Papel (E) Electroacutenico Archivo (S) Si (N) No Soportes Enviacuteo (S) Si (N) No Backup (S) Si (N) No
Producto (s) Cliente ReceptorControl
de salida
SoportesFrecuencia
Recepcioacuten Backup
DOCUMENTOS SISTEMAS ASOCIADOS A LOS CONTROLES
CALIFICACIOacuteN DE CONTROLES (por parte del Cliente Receptor)
Revisioacuten
Aprobacioacuten
Revisioacuten
AprobacioacutenTipo de control
Procesamiento
Automaacutetico (A)Manual (M)
Control
De EntradaTipo de control
Soportes
Recepcioacuten Archivo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 98
DATOS BAacuteSICOS
TareaActividad
Proceso Responsable del Proceso
Fecha de Elaboracioacuten 2015
Accioacuten (es) Responsable (s)
OBSERVACIONES ELABORADO POR
FIRMA
NOMBRE
Plan de recuperacioacuten y Reactivacioacuten de Finanzas
Recomendaciones Acciones
La Cadena de Valor de una Organizacioacuten de Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 99
ASESORAR EN CONTROLES DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR DELEGACIONES FINANCIERAS
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
CONTROLAR SEGURIDAD SISTEMA
OPERACIONALES ADMINISTRATIVOS Y OTROS
SISTEMAS FINANCIEROS
DESARROLLAR CONTROLES
DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR Y DESARROLLAR PLAN INTEGRAL DE CONTROL ( PIC )
Asesorar en controles de procesos normas y
Procedimientos
Administrar delegaciones financieras
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
Controlar seguridad sistema
operacionales administrativos y otros
sistemas financieros
Desarrollar
controles de
procesos
normas y
procedimientos
Administrar y desarrollar plan integral de control ( PIC )
Seguridad de Informacioacuten Modelo PDCA
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 10
bull Compromiso de la Direccioacutenbull Planificacioacutenbull Fechasbull Responsables
bull Definir alcance del SGSIbull Definir Poliacutetica de Seguridadbull Metodologiacutea de evaluacioacuten de riesgosbull Inventario de activosbull Identificar amenazas y vulnerabilidadesbull Identificar impactosbull Anaacutelisis y evaluacioacuten de riesgosbull Selccioacuten de controles
bull Definir plan de tratamiento de riesgos
bull Implantar plan de tratamiento de riesgos
bull Implementar los controlesbull Formacioacuten y concienciacioacutenbull Operar el SGSI
bull Implementar mejorasbullAcciones correctivasbullAcciones preventivasbullComprobar eficacia de las acciones
bull Revisar el SGSIbull Medir eficacia de los controlesbull Revisar riesgos residualesbull Realizar auditoriacuteas internas del
SGSIbull Registrar acciones y eventos
iquestQueacute es la seguridad informaacutetica
Poliacuteticas procedimientos y teacutecnicas para asegurar la integridad disponibilidad y confiabilidad de datos y sistemas
Prevenir y detectar amenazas Responder de una forma adecuada y con prontitud ante un incidente
Proteger y Mantener los sistemas funcionando
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 11
iquestQueacute se debe garantizar
bull Confidencialidad Se garantiza que la informacioacuten es accesible soacutelo a aquellas personas autorizadas a tener acceso a la misma
bull Integridad Se salvaguarda la exactitud y totalidad de la informacioacuten y los meacutetodos de procesamiento
bull Disponibilidad Se garantiza que los usuarios autorizados tienen acceso a la informacioacuten y a los recursos relacionados con la misma toda vez que se requiera
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 12
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 13
iquestQueacute es una poliacutetica de seguridad
Una directriz que contendraacute los objetivos de la empresa en materia de seguridad del sistema de informacioacuten
Estos objetivos se engloban en cuatro grupos
bull Identificar
bull Relacionar
bull Proporcionar
bull Detectar
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 14
Alcance de la Poliacutetica de Seguridad
bullNecesidades de seguridad
bullRiesgos que amenazan el sistema
bull Impactos ante un ataque ndashevaluarlos-Identificar
bullMedidas de seguridad para afrontar riesgos de activos o grupos de activosRelacionar
bullPerspectiva general de las reglas y procedimientos para afrontar riesgos identificados en los diferentes departamentosProporcionar
bullVulnerabilidades del sistema de informacioacuten
bullControlar los fallos producidosDetectar
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 15
Anaacutelisis de Riesgo
Estrategias de Recuperacioacuten
Desarrollo de las Estrategias
Desarrollo de los Procedimientos
Pruebas y Entrenamiento
Plan de Mantenimiento
Consecuencia de la Poliacutetica de Seguridad
bull La definicioacuten del plan de contingencias es uno de los resultados y parte de la poliacutetica de seguridad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 16
Esta norma define una poliacutetica de autorizacioacuten geneacuterica la cual puede formularse de la siguiente forma
ldquoLa informacioacuten no puede darse ni puede permitirse el acceso a ella ni se puede permitir que sea inferida ni se puede utilizar ninguacuten recurso por parte de personas o entidades que no estaacuten autorizadas de forma apropiadardquo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 17
bull Determinacioacuten del acceso y uso de los recursos en base a las identidades de los usuarios y recursos
Poliacuteticas Basadas en Identidad
bull El acceso a los recursos se controla a traveacutes de reglas globales impuestas a todos los usuarios por ejemplo utilizando etiquetas de seguridad
Poliacuteticas Basadas en Reglas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 18
bull Autenticacioacuten tanto de entidades como de origen
bull Control de acceso
bull Confidencialidad de los datos
bull Integridad de los datos
bull No repudio
Define cinco categoriacuteas principales de servicios
de seguridad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 19
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 20
Propietariosvaloran
Quieren minimizar
Salvaguardasdefinen
Pueden tener conciencia de
Amenazasexplotan
VulnerabilidadesPermiten o facilitan
Dantildeo
RECURSOSQue pueden tener
Reducen
RIESGO
Fecha __ __ __
Componente Supervisioacuten
Formulario nuacutemero 6 - Mapeo de Riesgos resultado de la evaluacioacuten de Efectividad Eficiencia y Cumplimiento de los Controles
Fecha ________
Entidad evaluada _____________ Proceso _____________________________________Sub Proceso_______________________________________Etapa sub proceso________________________
Elaborado por____________________________________Aprobado Por_________________________________ Pag __ de __
8 500
3 300
0
3
6
9
12
0 3 6 9 12
PR
OB
AB
ILID
AD
IMPACTO
MAPA DE RIESGOS
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 21
Responsabilidad de la Gerencia
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 22
Seguridad Informaacutetica ISOIEC 27001
ldquoLa seguridad informaacutetica consiste en la implantacioacuten de un conjunto de medidas teacutecnicas destinadas a preservar la confidencialidad la integridad y la disponibilidad de la informacioacuten pudiendo ademaacutes abarcar otras propiedades como la autenticidad la responsabilidad la fiabilidad y el no repudiordquo
Es la definicioacuten ofrecida por el estaacutendar para la seguridad de la informacioacuten ISOIEC 27001 aprobado y publicado en octubre de 2005 por la International Organization for Standardization (ISO) y por la comisioacuten International Electrotechnical Commission (IEC)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 23
Estructura Organizacional
Poliacutetica de Seguridad
Organizacioacuten de la Seguridad de la Informacioacuten
Gestioacuten de Activos Control de Acceso
Cumplimiento Conformidad Informacioacuten de gestioacuten de incidentes de seguridad
Seguridad de los recursos humanos
Gestioacuten de continuidad del negocio
Sistemas de Informacioacuten de adquisicioacuten desarrollo y mantenimiento
Comunicacioacuten y gestioacuten de operaciones
Seguridad fiacutesica y ambiental
Los 11 dominios de la ISOIEC 27001bull Poliacutetica de Seguridadbull Organizacioacuten de la seguridad de la
informacioacutenbull Gestioacuten de Activosbull Seguridad de los recursos humanosbull Seguridad fiacutesica y ambientalbull Comunicacioacuten y gestioacuten de
operacionesbull Control de accesobull Sistemas de informacioacuten de
adquisicioacuten desarrollo y mantenimiento
bull Informacioacuten de gestioacuten de incidentes de seguridad
bull Gestioacuten de continuidad del negociobull Cumplimiento Conformidad
Gerencia
Operaciones
Leyenda
Aspectos Gerenciales
Aspectos Teacutecnicos
Aspectos Fiacutesicos
Riesgos Amenazas
VulnerabilidadesGestioacuten de Riesgos en TI
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 25
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 26
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 27
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
DE ATAQUES INTERNOS PARA DANtildeAR DATOS O SISTEMAS FRAUDES ERRORES EN EL MANEJO DE
SISTEMAS
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 28
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 29
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 30
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 31
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Seguridad Informaacutetica a Nivel de Usuarios
bull Los usuarios se acostumbran a usar la tecnologiacutea sin saber como funciona o de los riesgos que pueden correr
bull Son el punto de entrada de muchos de los problemas croacutenicos
bull Son ldquoEl eslaboacuten maacutes deacutebilrdquo en la cadena de seguridad
Usuarios comunes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 32
Seguridad Informaacutetica a Nivel de Usuarios
bull Principio del MENOR PRIVILEGIO POSIBLE
bull EDUCAR AL USUARIO
Dos enfoques para
controlarlos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 33
Seguridad Informaacutetica a Nivel de Usuarios
Principio del MENOR PRIVILEGIO POSIBLE Implica seguridad de
acceso al sistema (usuario password perfiles de usuario de
manera transaccional ndash seguridad por posicioacuten workflow)
bull Reducir la capacidad de accioacuten del usuario sobre los sistemas
bull Objetivo Lograr el menor dantildeo posible en caso de incidentes
Administracioacuten de privilegios
bull Usuarios uacutenicos e intransferibles
bull Procesos de desactivacioacuten de cuentas y activacioacuten del reemplazo (en periacuteodos vacacionales y de reposos)
bull Administracioacuten de claves de acceso
bull Alfanumeacutericas + caracteres especiales + mayuacutesculas minuacutesculas
bull Caducidad
bull Bloqueo por intentos fallidos
bull Prohibicioacuten de palabras y datos de uso comuacuten o asociadas al usuario
bull Reseteo de clave de forma automaacutetica con preguntas de desafiacuteo (pe usando datos encriptados que solo el usuario conoce como fecha de ingreso a la empresa)
bull Perfil de usuario
bull De acuerdo a la actividad y delegacioacuten de autoridad de acuerdo a su posicioacuten y responsabilidades
bull Esquemas de proteccioacuten de datos e informacioacuten (Privado Confidencial y Estrictamente Privado y Confidencial) seguacuten la posicioacuten y actividades (previendo delincuencia comuacuten o DDOO)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 34
Seguridad Informaacutetica a Nivel de Usuarios
EDUCAR AL USUARIO
bull Documentar y publicar todas las normas y procedimientos asociados
bull Generar una cultura de seguridad El usuario ayuda a reforzar y aplicar los mecanismos de seguridad
bull Objetivo Reducir el nuacutemero de incidentes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 35
Adicionales a los que ya
se mostroacute para
usuarios comunes se
debe
bull Seguridad de acceso a las instalaciones (aacuterea de desarrollo y aacuterea de servidores o main frame)
bull Poliacutetica de respaldo de informacioacuten y programas que incluyan backups in situ outside a modo copia espejo e incremental (solo variaciones)
bull Poliacuteticas de sustraccioacuten de datos incluyendo el uso de CDROM y Pendrivers (Wikiliks)
bull Crear ambientes de desarrollo de software aislados de los ambientes de produccioacuten (operaciones de la empresa) y de prueba Crear ambientes de prueba con participacioacuten funcional
bull Crear protocolos de procesos de cambio (implantacioacuten de sistemas actualizacioacuten de software incluidos los sistemas operativos) que incluyan respaldo total de programas y datos a modo espejo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 36
Seguridad Informaacutetica a Nivel de Usuarios
Vulnerabilidad
bull En un sistema informaacutetico lo que queremos proteger son sus activos es decir los recursos que forman parte del sistema y que podemos agrupar enbull - Hardware - Software
bull - Datos - Otros
bull Los mas criacuteticos son los datos el hardware y el software Es decir los datos que estaacuten almacenados en el hardware y que son procesados por las aplicaciones software
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 37
Vulnerabilidad
bull Es la debilidad de cualquier tipo que compromete la seguridad del sistema informaacutetico
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 38
Disentildeobull Debilidad en el disentildeo de protocolos utilizados en las redes
bull Poliacuteticas de seguridad deficientes e inexistentes
Implementacioacuten
bull Errores de programacioacuten
bull Existencia de ldquopuertas traserasrdquo en los sistemas informaacuteticos
bull Descuido de los fabricantes
Uso
bull Mala configuracioacuten de los sistemas informaacuteticos
bull Desconocimiento y falta de sensibilizacioacuten de los usuarios y de los responsables de informaacutetica
bull Disponibilidad de herramientas que facilitan los ataques
bull Limitacioacuten gubernamental de tecnologiacuteas de seguridad
Vulnerabilidades conocidas
bull Firewall
bull Antivirus
bull Malware
bull Antispy
bull Protocolos de encriptacioacuten
bull Firmas digitales
bull Monitoreo de redes (Comunity Manager)
Consisten en ataques
intercepciones de datos y enviacuteo de
informacioacuten usurpando identidad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 39
Vulnerabilidades
bull Ataques contra el flujo de la informacioacuten FLUJO NORMAL
Los mensajes en una red se enviacutean a partir de un emisor a uno o varios receptores
El atacante es un tercer elemento en la realidad existen millones de elementos atacantesintencionales o accidentales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 40
Emisor Receptor
Atacante
bull INTERRUPCIONbull El mensaje no puede llegar a su destino un recurso del sistema es destruido o
temporalmente inutilizado
bull Este es un ataque contra la Disponibilidad
bull Ejemplos Destruccioacuten de una pieza de hardware cortar los medios de comunicacioacuten o deshabilitar los sistemas de administracioacuten de archivos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 41
Vulnerabilidades
Emisor
Atacante
Receptor
Vulnerabilidades
bull INTERCEPCIONbull Una persona computadora o programa sin autorizacioacuten logra el acceso a un
recurso controlado
bull Es un ataque contra la Confidencialidad
bull Ejemplos Escuchas electroacutenicos copias iliacutecitas de programas o datos escalamiento de privilegios
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 42
Emisor
Atacante
Receptor
Vulnerabilidades
bull MODIFICACIONbull La persona sin autorizacioacuten ademaacutes de lograr el acceso modifica el mensaje
bull Este es un ataque contra la Integridad
bull Ejemplos Alterar la informacioacuten que se transmite desde una base de datos modificar los mensajes entre programas para que se comporten diferente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 43
bull FABRICACIONbull Una persona sin autorizacioacuten inserta objetos falsos en el sistemabull Es un ataque contra la Autenticidadbull Ejemplos Suplantacioacuten de identidades robo de sesiones robo de contrasentildeas
robo de direcciones IP etcbull Es muy difiacutecil estar seguro de quieacuten esta al otro lado de la liacutenea
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 44
Vulnerabilidades
Emisor
Atacante
Receptor
iquestQuienes Atacan los Sistemas
Gobiernos Extranjeros
Espiacuteas industriales o poliacuteticos
Criminales
Empleados descontentos y abusos internos
Adolescentes sin nada que hacer
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 45
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 46
Estado del ataque Ejemplo de Acciones
1-Buacutesqueda de Ingreso Correr un scanner de puertos
2-Penetracioacuten Explorar un sistema sin parches de seguridad
3-Elevacioacuten de Privilegios Lograr cuenta de Administrador
5-Enmascaramiento Borrado de rastros del ingreso y ataque
4-Ataque en si mismo Robo de datos destruccioacuten del sitio web etc
INTRUSO
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 47
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 48
Actuacioacuten del Criminal
bull Se requieren talentos especiales
bull El fraude ha crecido gracias a la aparicioacuten de las computadoras
Mitos
bull Dinero
bull Satisfaccioacuten (egocentrismo)
bull Ideologiacutea
bull Psicosis
Motivaciones personales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 49
bull Ambiente de trabajo
bull Prestaciones
bull Nivel de confianza interpersonal
bull Eacutetica ambiental
bull Nivel de stress
bull AMBIENTE DE CONTROL INTERNO
Motivaciones ambientales
Ethical Hacking
Es una intrusioacuten eacutetica es la aplicacioacuten de herramientas de intrusioacuten penetracioacuten robo personificacioacuten y negacioacuten de servicio llevado a cabo por hackers eacuteticos es decir personas con la experiencia y conocimiento suficiente para llevar a cabo estas pruebas en nombre de la organizacioacuten es decir de manera legal y prevista para determinar el nivel de seguridad de una red de equipos o servicios (incluido el aspecto de ingenieriacutea social)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 50
Ethical Hacking
bull al conocer el nivel de seguridad que se tiene en nuestra organizacioacuten es mucho maacutes sencillo no simple el tomar medidas que puedan subsanar estas deficienciasiquestPor queacute es
Importante
bull No al usar las armas que el enemigo usa es maacutes factible que podamos determinar el nivel de riesgo y por tanto la respuesta que debemos dar ante un ataque vieacutendolo como analogiacutea meacutedica es como cuando nos vacunan pues nos inoculan una versioacuten del virus del cual nos quieren hacer inmunes
iquestNo es contraproducente
bull Al contratar un servicio o realizarlo de manera interna estamos confiando en la eacutetica profesional de quien evaluacutea por lo que siacute siempre llevamos un riesgo pero se establece un contrato de buena fe hacieacutendolo suficientemente fiable (asegurando)iquestEs fiable
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 51
Ejemplos de Criacutemenes Electroacutenicos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 52
Ataque en 1986 de alemanes trabajando para la KGB contra sistemas estrateacutegicos de EEUU (Clifford Stoll Cuckooacutes egg)
El gusano Morris que se propagoacute por internet en 1988
causando un problema de DoS La causa fue la interrupcioacuten
causada por un programa escrito por Robert Tappan Morris
414 Gang enviacutea ataques contra los registros meacutedicos del
hospital para enfermos de caacutencer Sloan-Kettering
Ataques de Kevin Mitnick 1989-1996
Penetracioacuten de la red de Microsoft en octubre de 2000
por un cracker que ganoacute acceso a programas en desarrollo
Esparcimiento del Love Letter difundido por Onel Guzmaacuten en
Filipinas
53
DDoS contra Yahoo Amazon y Zdnet
Muacuteltiples problemas por virus desde
entonces
Target (Robo de informacioacuten de clientes
Identidad y datos financieros)
Juegos del Hambre
Ataque a Sony (Cyberterrorismo) y la
Respuesta con el apagoacuten de internet a
Korea del Norte
Carnabank (Europa oriental europa
occidental EEUU Panamaacute)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
Ejemplos de Criacutemenes Electroacutenicos
Algunas Clases de Ataques
Negacioacuten de Servicio (DoS)
Robo de contrasentildeas
Robo de identidad
Ingenieriacutea social
Defacement
FraudePirateriacutea de
softwareDumpster
divingCoacutedigo
MaliciosoIP spoofing
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 54
Algunas Clases de Ataques
EspionajeDestruccioacuten o alteracioacuten de informacioacuten
Uso de scripts de ataque
desarrolladosPhishing
Ciber -Terrorismo
War DialingWar
DrivingWalkingWar Chalking
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 55
El Caso Carbanak 1MMMUS$
La banda delictiva ciberneacutetica CARBANAK roba mil millones de doacutelares de 100 instituciones financieras en todo el mundo Kaspersky Lab la INTERPOL EUROPOL y autoridades de diferentes paiacuteses han unido sus fuerzas para dejar al descubierto el complot delictivo de un robo ciberneacutetico sin precedentes Hasta mil millones de doacutelares americanos fueron robados en cerca de dos antildeos de instituciones financieras en todo el mundo Los expertos informan que la responsabilidad del robo recae en una banda multinacional de ciberdelincuentesde Rusia Ucrania y otras partes de Europa asiacute como de China
La banda CARBANAK responsable del robo ciberneacutetico utilizoacute teacutecnicas extraiacutedas del arsenal de los ataques selectivos El complot marca el inicio de una nueva etapa en la evolucioacuten de la actividad de delincuencia ciberneacutetica donde usuarios maliciosos roban dinero directamente de los bancos y evitan concentrar sus ataques en los usuarios finales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 56
Comunicado de prensa 160215 - Karpersky
5705062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
MALWARE
El malware es un tipo de software que tiene como objetivo infiltrarse o dantildear un ordenador sistema de informacioacuten sin el consentimiento de su propietario
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 58
POPUP
bull Un pop-up es un tipo de ventana web que aparece delante de la ventana de un navegador al visitar una paacutegina web
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 59
VOLVER
ADWARE
bull Un programa de clase adware es cualquier programa que automaacuteticamente muestra publicidad web al usuario durante su instalacioacuten o durante su uso para generar lucro a sus autores
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 60
SPAM
bull Se llama spam correo basura a los mensajes no solicitados no deseados o de remitente no conocido habitualmente de tipo publicitario generalmente enviados
en grandes cantidades que perjudican al receptor
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 61
Bomba Loacutegica
Son programas informaacuteticos que se instala en un ordenador y permanece oculto hasta cumplirse una o maacutes condiciones preprogramadas para en ese momento ejecutar una accioacuten
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 62
volver
VIRUS DE MACROS
bull Es una secuencia de oacuterdenes de teclado y ratoacuten asignadas a una sola tecla Los virus de macros afectan a archivos y plantillas que los contienen hacieacutendose pasar por una macro y no actuaraacuten hasta que el archivo se abra o utilice
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 63
VOLVER
VIRUS RESIDENTES
bull Se colocan automaacuteticamente en la memoria RAM del ordenador De este modo pueden controlar e interceptar todas las operaciones llevadas a cabo por el sistema operativo infectando todos aquellos ficheros yo programas que sean ejecutados abiertos cerrados renombrados copiados etc
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 64
VIRUS DE ENLACE
bull Modifican las direcciones que permiten a nivel interno acceder a cada uno de los archivos existentes y como consecuencia no es posible localizarlos y trabajar con ellos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 65
VOLVER
VIRUS MUTANTES
bull Son virus que mutan es decir x Debido a estas mutaciones cada generacioacuten de virus es diferente a la versioacuten anterior dificultando asiacute su deteccioacuten y eliminacioacuten
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 66
VIRUS DE BOOT
bull Se activan en el momento en el que se arranca el ordenador desde un disco infectado ya sea desde el disco duro o desde una memoria USB
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 67
VOLVER
VIRUS DE PROGRAMA
bull Comuacutenmente infectan archivos con extensiones EXE COM OVL DRV BIN DLL y SYS
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 68
VOLVER
VIRUS DE SOBREESCRITURA
bull Sobre-escriben en el interior de los archivos atacados haciendo que se pierda el contenido de los mismos
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 69
Ataques de Seguridad
bull Spyware Es un software de computadoraque al instalarse intercepta o toma controlparcial de la interaccioacuten de lacomputadora y el usuario esto sin que elmismo se de cuenta Estos programaspueden recolectar diferentes tipos deinformacioacuten de los usuarios asiacute comoinstalar software adicional sin elconsentimiento de los mismos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 70
71
Herramientas de Seguridad
bull Gusano Es un programa de computadora quepuede replicarse a si mismo utiliza la red paraenviar copias de si mismo a otros nodos y lopuede hacer sin la intervencioacuten del usuario
A diferencia de los ldquovirusrdquo los gusanos nonecesitan estar amarrados a un programa y sufuncioacuten es principalmente dantildear la red (ejdesempentildeo) mientras que los virus dantildeanarchivos en computadoras
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
72
Ataques de Seguridad
bull Caballo de Troya Es una programa que seinstala bajo la creencia de que se estainstalando alguna otra cosa Los troyanosson programas muy utilizados parainstalar programas tipo ldquobackdoorsrdquo quepermiten el acceso no autorizado a lacomputadora atacada un ejemplo deprogramas tipo backdoor son losKeyloogers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
73
Ataques de Seguridad
bull DoS Denial of service- Ataques quehacen indisponible un servicio a losusuarios
bull DDoS Son conocidos como DNSBackbone Distributed Denial ofServices ndash Ataques tienen comoblanco los servidores raiacutez DNS por lotanto afectan uno de los pilares delInternet los nombres de los dominios
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
74
Ataques de Seguridad
bull Footprinting Teacutecnica utilizada para reunir informacioacuten acerca de sistemas computacionales y las entidades a las que pertenece algunos ejemplos son
- Domain queries
- Network queries
- Organizational queries
- TCP scans
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
75
Ataques de Seguridad
bull Fingerprinting Tambieacuten es conocidocomo TCPIP stack fingerprinting y esutilizado para determinar que sistemaoperativo utiliza alguacuten blanco en la redExiste dos tipos de fingerprinting
- Pasivo- Activo
NMAP es una herramienta que utilizafingerprinting activo para mapearpuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
76
Ataques de Seguridad
bull Escaneo de puertos El escaneo depuertos se basa en el FingerprintingActivo es decir transmite y recibesentildeales como ICMP TELNET SNMPdesde un blanco determinado en lared esto con el fin de obtenerinformacioacuten de dicho blanco en estecaso informacioacuten acerca de suspuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
77
Ataques de Seguridad
bull Sniffing Para llevar a cabo el sniffing esnecesario contar con un ldquopacket snifferrdquoque puede ser software instalado en unacomputadora o un dispositivoindependiente (appliance) estedispositivo es utilizado para interceptar yregistrar traacutefico que pasa a traveacutes de unared o de un segmento de la misma(Puede ser de una red ethernet owireless)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
78
Ataques de Seguridad
bull Spoofing Los ataques tipo spoofing sonaquellos en los que una persona oprograma logra hacerse pasar por otrafalsificando informacioacuten o utilizando laingenieriacutea algunos ataques tipo spoofingson los siguientes
- Falsificacioacuten de direccioacuten de email
- Falsificacioacuten de ID de llamadas telefoacutenicas
- Falsificacioacuten de sitios de internet (phishing)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
79
Ataques de Seguridad
bull Phishing Es el uso de teacutecnicas deingenieriacutea social con la finalidad deadquirir de manera fraudulentainformacioacuten confidencial comonombres de usuarios contrasentildeasinformacioacuten de tarjetas de creacutedito
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
80
Ataques de Seguridad
bull Ingenieriacutea Social Se refiere a unacoleccioacuten de teacutecnicas utilizadas paramanipular a las personas para querealicen alguna accioacuten o divulgueninformacioacuten confidencial
Algunos ingenieros sociales notablesson
- Kevin Mitnik
- Frank Abagnale
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
Ingenieriacutea Social
Es el conjunto de meacutetodos y praacutecticas usados para obtener informacioacuten de usuarios legiacutetimos y con la informacioacuten obtenida lograr acceso a sistemas protegidos siendo esta praacutectica de uso comuacuten entre piratas informaacuteticos y delincuentes computacionales
Coacutemo me afecta Al no validar las referencias o no seguir el protocolo de seguridad adecuado para divulgar contrasentildeas o cualquier otra informacioacuten sensible podemos ser coacutemplices de un crimen Meacutexico ha acordado con organismos internacionales la homologacioacuten yo adecuacioacuten de coacutedigos penales para que estos delitos sean perseguidos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 81
Ingenieriacutea Social
Coacutemo puedo saber si estoy siendo viacutectima de un ingeniero social Muy simple cuando alguien nos pide alguacuten tipo de informacioacuten privilegiada y esta persona es insistente cuando le requerimos seguir un protocolo para validar su intencioacuten es altamente probable que estemos siendo viacutectimas de un intento de robo de informacioacuten por un ingeniero socialhacker
Coacutemo puedo evitarlo Sencillo si no confiamos en la persona que nos solicita los datos (supongamos un teacutecnico de soporte de nuestro lugar de trabajo) podemos pedirle que nos deje sus datos y comunicarnos con el 10 minutos despueacutes de validar que la peticioacuten es legiacutetima es decir soacutelo sigamos los protocolos que existen en el trabajo y crear los propios en casa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 82
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra los Sistemas que Utilizan Tecnologiacuteas de Informacioacuten
bull Artiacuteculo 6 Acceso indebido
bull Artiacuteculo 7 Sabotaje o dantildeo a sistemas
bull Artiacuteculo 8 Favorecimiento culposo del sabotaje o dantildeo
bull Artiacuteculo 9 Acceso indebido o sabotaje a sistemas protegidos
bull Artiacuteculo 10 Posesioacuten de equipos o prestacioacuten de servicios de sabotaje
bull Artiacuteculo 11 Espionaje informaacutetico
bull Artiacuteculo 12 Falsificacioacuten de documentos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 83
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Propiedad
bull Artiacuteculo 13 Hurto
bull Artiacuteculo 14 Fraude
bull Artiacuteculo 15 Obtencioacuten indebida de bienes o servicios
bull Artiacuteculo 16 Manejo fraudulento de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 17 Apropiacioacuten de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 18 Provisioacuten indebida de bienes o servicios
bull Artiacuteculo 19 Posesioacuten de equipo para falsificaciones
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 84
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Privacidad de las Personas y de las Comunicaciones
bullArtiacuteculo 20 Violacioacuten de la privacidad de la data o informacioacuten de caraacutecter personal
bullArtiacuteculo 21 Violacioacuten de la privacidad de las comunicaciones
bullArtiacuteculo 22 Revelacioacuten indebida de data o informacioacuten de caraacutecter personal
De los Delitos Contra Nintildeos Nintildeas o Adolescentes
bullArtiacuteculo 23 Difusioacuten o exhibicioacuten de material pornograacutefico
bullArtiacuteculo 24 Exhibicioacuten pornograacutefica de nintildeos o adolescentes
De los Delitos Contra el Orden Econoacutemico
bullArtiacuteculo 25 Apropiacioacuten de propiedad intelectual
bullArtiacuteculo 26 Oferta engantildeosa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 85
Plan de Contingencia Continuidad Operacional
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 86
Plan de Contingencia
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 87
ldquoConjunto de Normas y Procedimientos documentadosy comunicados que tienen por objetivo minimizar los riesgos informaacuteticos mas probablesrdquo
InvolucrabullUso de herramientas
bullCumplimiento de Tareas por
parte de personas
Plan de Contingencia
Consta de tres subplanes independientes
bull Plan de Respaldo crear y conservar en un lugar seguro copias de seguridad de la informacioacuten
bull Pla de Emergencia queacute medidas tomar cuando se estaacute materializando una amenaza o cuando acaba de producirse
bull Plan de Recuperacioacuten medidas que se aplicaran cuando se ha producido un desastre El objetivo es evaluar el impacto y regresar lo antes posible
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 88
Plan de Contingencia
En la elaboracioacuten de este plan no se puede dejar por fuera a los miembros de la organizacioacuten el cual debe estar informado y entrenado para actuar en las funciones que le hayan sido encomendadas en caso de producirse una amenaza o impacto
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 89
Continuidad Operacional
Business Continuity Planning (Plan de Continuidad de negocios)
bull Plan Baacutesico
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Coldsite)
bull Plan Intermedio
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan Alto
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan de respuesta y continuidad de negocios alternativo (sin asistencia de sistemas)
bull Stress Testing al Plan
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 90
El Stress Testing
bull Poner a prueba el planbull Revise y evalueacute
bull Respaldosbull Oportunidad integridad y funcionalidadbull Custodia y transporte
bull Cold y Hotsitebull Funcionalidad accesibilidad y compatibilidadbull Actualizacioacuten oportuna (hotsite)
bull Personalbull Roles y funcionesbull Accesibilidad (contactos y comunicaciones)
bull Simulacioacuten de cataacutestrofesbull Sin previo aviso el director encargado del BCP se presenta en el centro de computo
cronometro en mano y baja la cuchilla de electricidad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 91
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de Lehman Brothers
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el WorldTrade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehman se desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del World Trade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehman teniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 92
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de LehmanBrothers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 93
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el World Trade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehmanse desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 94
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del WorldTrade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehmanteniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 95
La Contingencia Manual la Uacuteltima Frontera
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 96
05062015 97
DATOS BAacuteSICOS
Responsable A Nivel Corporativo Responsable(s) A Nivel Regional
PROVEEDOR (ES)
Origen Responsable Insumo (s)
RESULTADOS
Normas y Procedimientos Asociados Fecha uacuteltima revisioacuten Sistemas Aplicaciones Asociadas
Proceso
CALIFICACIOacuteN DE CONTROLES DE ENTRADA
Actividad
RECOMENDACIONES
Procesamiento
Automaacutetico (A)Manual (M)
Frecuencia
Adiestramiento Proceso Sistema N y P Otros
Negocio Area Localidad
Responsable
Nombre CargoNombre Cargo
NOMBRE
ELABORADO POR
CARGO FIRMA
Calidad de Data (B) Buena (R) Regular (M) Mala Oportunidad (AT) A Tiempo (R) Retrasada Revisioacuten Aprobacioacuten (S) Si (N) NoLEYENDA
Calificacioacuten (F) Fuerte (M) Medio (B) Bajo
DescripcioacutenResponsableDescripcioacuten
Tarea
Descripcioacuten
FRECUENCIA DE LA TAREA Diaria (D) Semanal (S) Mensual (M) Trimestral (T) Anual (A) Ocasional (O)
Soportes Recepcioacuten (P) Papel (E) Electroacutenico Archivo (S) Si (N) No Soportes Enviacuteo (S) Si (N) No Backup (S) Si (N) No
Producto (s) Cliente ReceptorControl
de salida
SoportesFrecuencia
Recepcioacuten Backup
DOCUMENTOS SISTEMAS ASOCIADOS A LOS CONTROLES
CALIFICACIOacuteN DE CONTROLES (por parte del Cliente Receptor)
Revisioacuten
Aprobacioacuten
Revisioacuten
AprobacioacutenTipo de control
Procesamiento
Automaacutetico (A)Manual (M)
Control
De EntradaTipo de control
Soportes
Recepcioacuten Archivo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 98
DATOS BAacuteSICOS
TareaActividad
Proceso Responsable del Proceso
Fecha de Elaboracioacuten 2015
Accioacuten (es) Responsable (s)
OBSERVACIONES ELABORADO POR
FIRMA
NOMBRE
Plan de recuperacioacuten y Reactivacioacuten de Finanzas
Recomendaciones Acciones
La Cadena de Valor de una Organizacioacuten de Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 99
ASESORAR EN CONTROLES DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR DELEGACIONES FINANCIERAS
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
CONTROLAR SEGURIDAD SISTEMA
OPERACIONALES ADMINISTRATIVOS Y OTROS
SISTEMAS FINANCIEROS
DESARROLLAR CONTROLES
DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR Y DESARROLLAR PLAN INTEGRAL DE CONTROL ( PIC )
Asesorar en controles de procesos normas y
Procedimientos
Administrar delegaciones financieras
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
Controlar seguridad sistema
operacionales administrativos y otros
sistemas financieros
Desarrollar
controles de
procesos
normas y
procedimientos
Administrar y desarrollar plan integral de control ( PIC )
iquestQueacute es la seguridad informaacutetica
Poliacuteticas procedimientos y teacutecnicas para asegurar la integridad disponibilidad y confiabilidad de datos y sistemas
Prevenir y detectar amenazas Responder de una forma adecuada y con prontitud ante un incidente
Proteger y Mantener los sistemas funcionando
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 11
iquestQueacute se debe garantizar
bull Confidencialidad Se garantiza que la informacioacuten es accesible soacutelo a aquellas personas autorizadas a tener acceso a la misma
bull Integridad Se salvaguarda la exactitud y totalidad de la informacioacuten y los meacutetodos de procesamiento
bull Disponibilidad Se garantiza que los usuarios autorizados tienen acceso a la informacioacuten y a los recursos relacionados con la misma toda vez que se requiera
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 12
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 13
iquestQueacute es una poliacutetica de seguridad
Una directriz que contendraacute los objetivos de la empresa en materia de seguridad del sistema de informacioacuten
Estos objetivos se engloban en cuatro grupos
bull Identificar
bull Relacionar
bull Proporcionar
bull Detectar
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 14
Alcance de la Poliacutetica de Seguridad
bullNecesidades de seguridad
bullRiesgos que amenazan el sistema
bull Impactos ante un ataque ndashevaluarlos-Identificar
bullMedidas de seguridad para afrontar riesgos de activos o grupos de activosRelacionar
bullPerspectiva general de las reglas y procedimientos para afrontar riesgos identificados en los diferentes departamentosProporcionar
bullVulnerabilidades del sistema de informacioacuten
bullControlar los fallos producidosDetectar
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 15
Anaacutelisis de Riesgo
Estrategias de Recuperacioacuten
Desarrollo de las Estrategias
Desarrollo de los Procedimientos
Pruebas y Entrenamiento
Plan de Mantenimiento
Consecuencia de la Poliacutetica de Seguridad
bull La definicioacuten del plan de contingencias es uno de los resultados y parte de la poliacutetica de seguridad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 16
Esta norma define una poliacutetica de autorizacioacuten geneacuterica la cual puede formularse de la siguiente forma
ldquoLa informacioacuten no puede darse ni puede permitirse el acceso a ella ni se puede permitir que sea inferida ni se puede utilizar ninguacuten recurso por parte de personas o entidades que no estaacuten autorizadas de forma apropiadardquo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 17
bull Determinacioacuten del acceso y uso de los recursos en base a las identidades de los usuarios y recursos
Poliacuteticas Basadas en Identidad
bull El acceso a los recursos se controla a traveacutes de reglas globales impuestas a todos los usuarios por ejemplo utilizando etiquetas de seguridad
Poliacuteticas Basadas en Reglas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 18
bull Autenticacioacuten tanto de entidades como de origen
bull Control de acceso
bull Confidencialidad de los datos
bull Integridad de los datos
bull No repudio
Define cinco categoriacuteas principales de servicios
de seguridad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 19
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 20
Propietariosvaloran
Quieren minimizar
Salvaguardasdefinen
Pueden tener conciencia de
Amenazasexplotan
VulnerabilidadesPermiten o facilitan
Dantildeo
RECURSOSQue pueden tener
Reducen
RIESGO
Fecha __ __ __
Componente Supervisioacuten
Formulario nuacutemero 6 - Mapeo de Riesgos resultado de la evaluacioacuten de Efectividad Eficiencia y Cumplimiento de los Controles
Fecha ________
Entidad evaluada _____________ Proceso _____________________________________Sub Proceso_______________________________________Etapa sub proceso________________________
Elaborado por____________________________________Aprobado Por_________________________________ Pag __ de __
8 500
3 300
0
3
6
9
12
0 3 6 9 12
PR
OB
AB
ILID
AD
IMPACTO
MAPA DE RIESGOS
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 21
Responsabilidad de la Gerencia
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 22
Seguridad Informaacutetica ISOIEC 27001
ldquoLa seguridad informaacutetica consiste en la implantacioacuten de un conjunto de medidas teacutecnicas destinadas a preservar la confidencialidad la integridad y la disponibilidad de la informacioacuten pudiendo ademaacutes abarcar otras propiedades como la autenticidad la responsabilidad la fiabilidad y el no repudiordquo
Es la definicioacuten ofrecida por el estaacutendar para la seguridad de la informacioacuten ISOIEC 27001 aprobado y publicado en octubre de 2005 por la International Organization for Standardization (ISO) y por la comisioacuten International Electrotechnical Commission (IEC)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 23
Estructura Organizacional
Poliacutetica de Seguridad
Organizacioacuten de la Seguridad de la Informacioacuten
Gestioacuten de Activos Control de Acceso
Cumplimiento Conformidad Informacioacuten de gestioacuten de incidentes de seguridad
Seguridad de los recursos humanos
Gestioacuten de continuidad del negocio
Sistemas de Informacioacuten de adquisicioacuten desarrollo y mantenimiento
Comunicacioacuten y gestioacuten de operaciones
Seguridad fiacutesica y ambiental
Los 11 dominios de la ISOIEC 27001bull Poliacutetica de Seguridadbull Organizacioacuten de la seguridad de la
informacioacutenbull Gestioacuten de Activosbull Seguridad de los recursos humanosbull Seguridad fiacutesica y ambientalbull Comunicacioacuten y gestioacuten de
operacionesbull Control de accesobull Sistemas de informacioacuten de
adquisicioacuten desarrollo y mantenimiento
bull Informacioacuten de gestioacuten de incidentes de seguridad
bull Gestioacuten de continuidad del negociobull Cumplimiento Conformidad
Gerencia
Operaciones
Leyenda
Aspectos Gerenciales
Aspectos Teacutecnicos
Aspectos Fiacutesicos
Riesgos Amenazas
VulnerabilidadesGestioacuten de Riesgos en TI
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 25
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 26
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 27
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
DE ATAQUES INTERNOS PARA DANtildeAR DATOS O SISTEMAS FRAUDES ERRORES EN EL MANEJO DE
SISTEMAS
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 28
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 29
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 30
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 31
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Seguridad Informaacutetica a Nivel de Usuarios
bull Los usuarios se acostumbran a usar la tecnologiacutea sin saber como funciona o de los riesgos que pueden correr
bull Son el punto de entrada de muchos de los problemas croacutenicos
bull Son ldquoEl eslaboacuten maacutes deacutebilrdquo en la cadena de seguridad
Usuarios comunes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 32
Seguridad Informaacutetica a Nivel de Usuarios
bull Principio del MENOR PRIVILEGIO POSIBLE
bull EDUCAR AL USUARIO
Dos enfoques para
controlarlos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 33
Seguridad Informaacutetica a Nivel de Usuarios
Principio del MENOR PRIVILEGIO POSIBLE Implica seguridad de
acceso al sistema (usuario password perfiles de usuario de
manera transaccional ndash seguridad por posicioacuten workflow)
bull Reducir la capacidad de accioacuten del usuario sobre los sistemas
bull Objetivo Lograr el menor dantildeo posible en caso de incidentes
Administracioacuten de privilegios
bull Usuarios uacutenicos e intransferibles
bull Procesos de desactivacioacuten de cuentas y activacioacuten del reemplazo (en periacuteodos vacacionales y de reposos)
bull Administracioacuten de claves de acceso
bull Alfanumeacutericas + caracteres especiales + mayuacutesculas minuacutesculas
bull Caducidad
bull Bloqueo por intentos fallidos
bull Prohibicioacuten de palabras y datos de uso comuacuten o asociadas al usuario
bull Reseteo de clave de forma automaacutetica con preguntas de desafiacuteo (pe usando datos encriptados que solo el usuario conoce como fecha de ingreso a la empresa)
bull Perfil de usuario
bull De acuerdo a la actividad y delegacioacuten de autoridad de acuerdo a su posicioacuten y responsabilidades
bull Esquemas de proteccioacuten de datos e informacioacuten (Privado Confidencial y Estrictamente Privado y Confidencial) seguacuten la posicioacuten y actividades (previendo delincuencia comuacuten o DDOO)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 34
Seguridad Informaacutetica a Nivel de Usuarios
EDUCAR AL USUARIO
bull Documentar y publicar todas las normas y procedimientos asociados
bull Generar una cultura de seguridad El usuario ayuda a reforzar y aplicar los mecanismos de seguridad
bull Objetivo Reducir el nuacutemero de incidentes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 35
Adicionales a los que ya
se mostroacute para
usuarios comunes se
debe
bull Seguridad de acceso a las instalaciones (aacuterea de desarrollo y aacuterea de servidores o main frame)
bull Poliacutetica de respaldo de informacioacuten y programas que incluyan backups in situ outside a modo copia espejo e incremental (solo variaciones)
bull Poliacuteticas de sustraccioacuten de datos incluyendo el uso de CDROM y Pendrivers (Wikiliks)
bull Crear ambientes de desarrollo de software aislados de los ambientes de produccioacuten (operaciones de la empresa) y de prueba Crear ambientes de prueba con participacioacuten funcional
bull Crear protocolos de procesos de cambio (implantacioacuten de sistemas actualizacioacuten de software incluidos los sistemas operativos) que incluyan respaldo total de programas y datos a modo espejo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 36
Seguridad Informaacutetica a Nivel de Usuarios
Vulnerabilidad
bull En un sistema informaacutetico lo que queremos proteger son sus activos es decir los recursos que forman parte del sistema y que podemos agrupar enbull - Hardware - Software
bull - Datos - Otros
bull Los mas criacuteticos son los datos el hardware y el software Es decir los datos que estaacuten almacenados en el hardware y que son procesados por las aplicaciones software
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 37
Vulnerabilidad
bull Es la debilidad de cualquier tipo que compromete la seguridad del sistema informaacutetico
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 38
Disentildeobull Debilidad en el disentildeo de protocolos utilizados en las redes
bull Poliacuteticas de seguridad deficientes e inexistentes
Implementacioacuten
bull Errores de programacioacuten
bull Existencia de ldquopuertas traserasrdquo en los sistemas informaacuteticos
bull Descuido de los fabricantes
Uso
bull Mala configuracioacuten de los sistemas informaacuteticos
bull Desconocimiento y falta de sensibilizacioacuten de los usuarios y de los responsables de informaacutetica
bull Disponibilidad de herramientas que facilitan los ataques
bull Limitacioacuten gubernamental de tecnologiacuteas de seguridad
Vulnerabilidades conocidas
bull Firewall
bull Antivirus
bull Malware
bull Antispy
bull Protocolos de encriptacioacuten
bull Firmas digitales
bull Monitoreo de redes (Comunity Manager)
Consisten en ataques
intercepciones de datos y enviacuteo de
informacioacuten usurpando identidad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 39
Vulnerabilidades
bull Ataques contra el flujo de la informacioacuten FLUJO NORMAL
Los mensajes en una red se enviacutean a partir de un emisor a uno o varios receptores
El atacante es un tercer elemento en la realidad existen millones de elementos atacantesintencionales o accidentales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 40
Emisor Receptor
Atacante
bull INTERRUPCIONbull El mensaje no puede llegar a su destino un recurso del sistema es destruido o
temporalmente inutilizado
bull Este es un ataque contra la Disponibilidad
bull Ejemplos Destruccioacuten de una pieza de hardware cortar los medios de comunicacioacuten o deshabilitar los sistemas de administracioacuten de archivos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 41
Vulnerabilidades
Emisor
Atacante
Receptor
Vulnerabilidades
bull INTERCEPCIONbull Una persona computadora o programa sin autorizacioacuten logra el acceso a un
recurso controlado
bull Es un ataque contra la Confidencialidad
bull Ejemplos Escuchas electroacutenicos copias iliacutecitas de programas o datos escalamiento de privilegios
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 42
Emisor
Atacante
Receptor
Vulnerabilidades
bull MODIFICACIONbull La persona sin autorizacioacuten ademaacutes de lograr el acceso modifica el mensaje
bull Este es un ataque contra la Integridad
bull Ejemplos Alterar la informacioacuten que se transmite desde una base de datos modificar los mensajes entre programas para que se comporten diferente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 43
bull FABRICACIONbull Una persona sin autorizacioacuten inserta objetos falsos en el sistemabull Es un ataque contra la Autenticidadbull Ejemplos Suplantacioacuten de identidades robo de sesiones robo de contrasentildeas
robo de direcciones IP etcbull Es muy difiacutecil estar seguro de quieacuten esta al otro lado de la liacutenea
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 44
Vulnerabilidades
Emisor
Atacante
Receptor
iquestQuienes Atacan los Sistemas
Gobiernos Extranjeros
Espiacuteas industriales o poliacuteticos
Criminales
Empleados descontentos y abusos internos
Adolescentes sin nada que hacer
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 45
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 46
Estado del ataque Ejemplo de Acciones
1-Buacutesqueda de Ingreso Correr un scanner de puertos
2-Penetracioacuten Explorar un sistema sin parches de seguridad
3-Elevacioacuten de Privilegios Lograr cuenta de Administrador
5-Enmascaramiento Borrado de rastros del ingreso y ataque
4-Ataque en si mismo Robo de datos destruccioacuten del sitio web etc
INTRUSO
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 47
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 48
Actuacioacuten del Criminal
bull Se requieren talentos especiales
bull El fraude ha crecido gracias a la aparicioacuten de las computadoras
Mitos
bull Dinero
bull Satisfaccioacuten (egocentrismo)
bull Ideologiacutea
bull Psicosis
Motivaciones personales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 49
bull Ambiente de trabajo
bull Prestaciones
bull Nivel de confianza interpersonal
bull Eacutetica ambiental
bull Nivel de stress
bull AMBIENTE DE CONTROL INTERNO
Motivaciones ambientales
Ethical Hacking
Es una intrusioacuten eacutetica es la aplicacioacuten de herramientas de intrusioacuten penetracioacuten robo personificacioacuten y negacioacuten de servicio llevado a cabo por hackers eacuteticos es decir personas con la experiencia y conocimiento suficiente para llevar a cabo estas pruebas en nombre de la organizacioacuten es decir de manera legal y prevista para determinar el nivel de seguridad de una red de equipos o servicios (incluido el aspecto de ingenieriacutea social)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 50
Ethical Hacking
bull al conocer el nivel de seguridad que se tiene en nuestra organizacioacuten es mucho maacutes sencillo no simple el tomar medidas que puedan subsanar estas deficienciasiquestPor queacute es
Importante
bull No al usar las armas que el enemigo usa es maacutes factible que podamos determinar el nivel de riesgo y por tanto la respuesta que debemos dar ante un ataque vieacutendolo como analogiacutea meacutedica es como cuando nos vacunan pues nos inoculan una versioacuten del virus del cual nos quieren hacer inmunes
iquestNo es contraproducente
bull Al contratar un servicio o realizarlo de manera interna estamos confiando en la eacutetica profesional de quien evaluacutea por lo que siacute siempre llevamos un riesgo pero se establece un contrato de buena fe hacieacutendolo suficientemente fiable (asegurando)iquestEs fiable
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 51
Ejemplos de Criacutemenes Electroacutenicos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 52
Ataque en 1986 de alemanes trabajando para la KGB contra sistemas estrateacutegicos de EEUU (Clifford Stoll Cuckooacutes egg)
El gusano Morris que se propagoacute por internet en 1988
causando un problema de DoS La causa fue la interrupcioacuten
causada por un programa escrito por Robert Tappan Morris
414 Gang enviacutea ataques contra los registros meacutedicos del
hospital para enfermos de caacutencer Sloan-Kettering
Ataques de Kevin Mitnick 1989-1996
Penetracioacuten de la red de Microsoft en octubre de 2000
por un cracker que ganoacute acceso a programas en desarrollo
Esparcimiento del Love Letter difundido por Onel Guzmaacuten en
Filipinas
53
DDoS contra Yahoo Amazon y Zdnet
Muacuteltiples problemas por virus desde
entonces
Target (Robo de informacioacuten de clientes
Identidad y datos financieros)
Juegos del Hambre
Ataque a Sony (Cyberterrorismo) y la
Respuesta con el apagoacuten de internet a
Korea del Norte
Carnabank (Europa oriental europa
occidental EEUU Panamaacute)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
Ejemplos de Criacutemenes Electroacutenicos
Algunas Clases de Ataques
Negacioacuten de Servicio (DoS)
Robo de contrasentildeas
Robo de identidad
Ingenieriacutea social
Defacement
FraudePirateriacutea de
softwareDumpster
divingCoacutedigo
MaliciosoIP spoofing
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 54
Algunas Clases de Ataques
EspionajeDestruccioacuten o alteracioacuten de informacioacuten
Uso de scripts de ataque
desarrolladosPhishing
Ciber -Terrorismo
War DialingWar
DrivingWalkingWar Chalking
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 55
El Caso Carbanak 1MMMUS$
La banda delictiva ciberneacutetica CARBANAK roba mil millones de doacutelares de 100 instituciones financieras en todo el mundo Kaspersky Lab la INTERPOL EUROPOL y autoridades de diferentes paiacuteses han unido sus fuerzas para dejar al descubierto el complot delictivo de un robo ciberneacutetico sin precedentes Hasta mil millones de doacutelares americanos fueron robados en cerca de dos antildeos de instituciones financieras en todo el mundo Los expertos informan que la responsabilidad del robo recae en una banda multinacional de ciberdelincuentesde Rusia Ucrania y otras partes de Europa asiacute como de China
La banda CARBANAK responsable del robo ciberneacutetico utilizoacute teacutecnicas extraiacutedas del arsenal de los ataques selectivos El complot marca el inicio de una nueva etapa en la evolucioacuten de la actividad de delincuencia ciberneacutetica donde usuarios maliciosos roban dinero directamente de los bancos y evitan concentrar sus ataques en los usuarios finales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 56
Comunicado de prensa 160215 - Karpersky
5705062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
MALWARE
El malware es un tipo de software que tiene como objetivo infiltrarse o dantildear un ordenador sistema de informacioacuten sin el consentimiento de su propietario
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 58
POPUP
bull Un pop-up es un tipo de ventana web que aparece delante de la ventana de un navegador al visitar una paacutegina web
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 59
VOLVER
ADWARE
bull Un programa de clase adware es cualquier programa que automaacuteticamente muestra publicidad web al usuario durante su instalacioacuten o durante su uso para generar lucro a sus autores
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 60
SPAM
bull Se llama spam correo basura a los mensajes no solicitados no deseados o de remitente no conocido habitualmente de tipo publicitario generalmente enviados
en grandes cantidades que perjudican al receptor
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 61
Bomba Loacutegica
Son programas informaacuteticos que se instala en un ordenador y permanece oculto hasta cumplirse una o maacutes condiciones preprogramadas para en ese momento ejecutar una accioacuten
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 62
volver
VIRUS DE MACROS
bull Es una secuencia de oacuterdenes de teclado y ratoacuten asignadas a una sola tecla Los virus de macros afectan a archivos y plantillas que los contienen hacieacutendose pasar por una macro y no actuaraacuten hasta que el archivo se abra o utilice
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 63
VOLVER
VIRUS RESIDENTES
bull Se colocan automaacuteticamente en la memoria RAM del ordenador De este modo pueden controlar e interceptar todas las operaciones llevadas a cabo por el sistema operativo infectando todos aquellos ficheros yo programas que sean ejecutados abiertos cerrados renombrados copiados etc
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 64
VIRUS DE ENLACE
bull Modifican las direcciones que permiten a nivel interno acceder a cada uno de los archivos existentes y como consecuencia no es posible localizarlos y trabajar con ellos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 65
VOLVER
VIRUS MUTANTES
bull Son virus que mutan es decir x Debido a estas mutaciones cada generacioacuten de virus es diferente a la versioacuten anterior dificultando asiacute su deteccioacuten y eliminacioacuten
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 66
VIRUS DE BOOT
bull Se activan en el momento en el que se arranca el ordenador desde un disco infectado ya sea desde el disco duro o desde una memoria USB
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 67
VOLVER
VIRUS DE PROGRAMA
bull Comuacutenmente infectan archivos con extensiones EXE COM OVL DRV BIN DLL y SYS
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 68
VOLVER
VIRUS DE SOBREESCRITURA
bull Sobre-escriben en el interior de los archivos atacados haciendo que se pierda el contenido de los mismos
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 69
Ataques de Seguridad
bull Spyware Es un software de computadoraque al instalarse intercepta o toma controlparcial de la interaccioacuten de lacomputadora y el usuario esto sin que elmismo se de cuenta Estos programaspueden recolectar diferentes tipos deinformacioacuten de los usuarios asiacute comoinstalar software adicional sin elconsentimiento de los mismos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 70
71
Herramientas de Seguridad
bull Gusano Es un programa de computadora quepuede replicarse a si mismo utiliza la red paraenviar copias de si mismo a otros nodos y lopuede hacer sin la intervencioacuten del usuario
A diferencia de los ldquovirusrdquo los gusanos nonecesitan estar amarrados a un programa y sufuncioacuten es principalmente dantildear la red (ejdesempentildeo) mientras que los virus dantildeanarchivos en computadoras
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
72
Ataques de Seguridad
bull Caballo de Troya Es una programa que seinstala bajo la creencia de que se estainstalando alguna otra cosa Los troyanosson programas muy utilizados parainstalar programas tipo ldquobackdoorsrdquo quepermiten el acceso no autorizado a lacomputadora atacada un ejemplo deprogramas tipo backdoor son losKeyloogers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
73
Ataques de Seguridad
bull DoS Denial of service- Ataques quehacen indisponible un servicio a losusuarios
bull DDoS Son conocidos como DNSBackbone Distributed Denial ofServices ndash Ataques tienen comoblanco los servidores raiacutez DNS por lotanto afectan uno de los pilares delInternet los nombres de los dominios
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
74
Ataques de Seguridad
bull Footprinting Teacutecnica utilizada para reunir informacioacuten acerca de sistemas computacionales y las entidades a las que pertenece algunos ejemplos son
- Domain queries
- Network queries
- Organizational queries
- TCP scans
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
75
Ataques de Seguridad
bull Fingerprinting Tambieacuten es conocidocomo TCPIP stack fingerprinting y esutilizado para determinar que sistemaoperativo utiliza alguacuten blanco en la redExiste dos tipos de fingerprinting
- Pasivo- Activo
NMAP es una herramienta que utilizafingerprinting activo para mapearpuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
76
Ataques de Seguridad
bull Escaneo de puertos El escaneo depuertos se basa en el FingerprintingActivo es decir transmite y recibesentildeales como ICMP TELNET SNMPdesde un blanco determinado en lared esto con el fin de obtenerinformacioacuten de dicho blanco en estecaso informacioacuten acerca de suspuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
77
Ataques de Seguridad
bull Sniffing Para llevar a cabo el sniffing esnecesario contar con un ldquopacket snifferrdquoque puede ser software instalado en unacomputadora o un dispositivoindependiente (appliance) estedispositivo es utilizado para interceptar yregistrar traacutefico que pasa a traveacutes de unared o de un segmento de la misma(Puede ser de una red ethernet owireless)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
78
Ataques de Seguridad
bull Spoofing Los ataques tipo spoofing sonaquellos en los que una persona oprograma logra hacerse pasar por otrafalsificando informacioacuten o utilizando laingenieriacutea algunos ataques tipo spoofingson los siguientes
- Falsificacioacuten de direccioacuten de email
- Falsificacioacuten de ID de llamadas telefoacutenicas
- Falsificacioacuten de sitios de internet (phishing)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
79
Ataques de Seguridad
bull Phishing Es el uso de teacutecnicas deingenieriacutea social con la finalidad deadquirir de manera fraudulentainformacioacuten confidencial comonombres de usuarios contrasentildeasinformacioacuten de tarjetas de creacutedito
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
80
Ataques de Seguridad
bull Ingenieriacutea Social Se refiere a unacoleccioacuten de teacutecnicas utilizadas paramanipular a las personas para querealicen alguna accioacuten o divulgueninformacioacuten confidencial
Algunos ingenieros sociales notablesson
- Kevin Mitnik
- Frank Abagnale
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
Ingenieriacutea Social
Es el conjunto de meacutetodos y praacutecticas usados para obtener informacioacuten de usuarios legiacutetimos y con la informacioacuten obtenida lograr acceso a sistemas protegidos siendo esta praacutectica de uso comuacuten entre piratas informaacuteticos y delincuentes computacionales
Coacutemo me afecta Al no validar las referencias o no seguir el protocolo de seguridad adecuado para divulgar contrasentildeas o cualquier otra informacioacuten sensible podemos ser coacutemplices de un crimen Meacutexico ha acordado con organismos internacionales la homologacioacuten yo adecuacioacuten de coacutedigos penales para que estos delitos sean perseguidos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 81
Ingenieriacutea Social
Coacutemo puedo saber si estoy siendo viacutectima de un ingeniero social Muy simple cuando alguien nos pide alguacuten tipo de informacioacuten privilegiada y esta persona es insistente cuando le requerimos seguir un protocolo para validar su intencioacuten es altamente probable que estemos siendo viacutectimas de un intento de robo de informacioacuten por un ingeniero socialhacker
Coacutemo puedo evitarlo Sencillo si no confiamos en la persona que nos solicita los datos (supongamos un teacutecnico de soporte de nuestro lugar de trabajo) podemos pedirle que nos deje sus datos y comunicarnos con el 10 minutos despueacutes de validar que la peticioacuten es legiacutetima es decir soacutelo sigamos los protocolos que existen en el trabajo y crear los propios en casa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 82
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra los Sistemas que Utilizan Tecnologiacuteas de Informacioacuten
bull Artiacuteculo 6 Acceso indebido
bull Artiacuteculo 7 Sabotaje o dantildeo a sistemas
bull Artiacuteculo 8 Favorecimiento culposo del sabotaje o dantildeo
bull Artiacuteculo 9 Acceso indebido o sabotaje a sistemas protegidos
bull Artiacuteculo 10 Posesioacuten de equipos o prestacioacuten de servicios de sabotaje
bull Artiacuteculo 11 Espionaje informaacutetico
bull Artiacuteculo 12 Falsificacioacuten de documentos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 83
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Propiedad
bull Artiacuteculo 13 Hurto
bull Artiacuteculo 14 Fraude
bull Artiacuteculo 15 Obtencioacuten indebida de bienes o servicios
bull Artiacuteculo 16 Manejo fraudulento de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 17 Apropiacioacuten de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 18 Provisioacuten indebida de bienes o servicios
bull Artiacuteculo 19 Posesioacuten de equipo para falsificaciones
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 84
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Privacidad de las Personas y de las Comunicaciones
bullArtiacuteculo 20 Violacioacuten de la privacidad de la data o informacioacuten de caraacutecter personal
bullArtiacuteculo 21 Violacioacuten de la privacidad de las comunicaciones
bullArtiacuteculo 22 Revelacioacuten indebida de data o informacioacuten de caraacutecter personal
De los Delitos Contra Nintildeos Nintildeas o Adolescentes
bullArtiacuteculo 23 Difusioacuten o exhibicioacuten de material pornograacutefico
bullArtiacuteculo 24 Exhibicioacuten pornograacutefica de nintildeos o adolescentes
De los Delitos Contra el Orden Econoacutemico
bullArtiacuteculo 25 Apropiacioacuten de propiedad intelectual
bullArtiacuteculo 26 Oferta engantildeosa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 85
Plan de Contingencia Continuidad Operacional
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 86
Plan de Contingencia
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 87
ldquoConjunto de Normas y Procedimientos documentadosy comunicados que tienen por objetivo minimizar los riesgos informaacuteticos mas probablesrdquo
InvolucrabullUso de herramientas
bullCumplimiento de Tareas por
parte de personas
Plan de Contingencia
Consta de tres subplanes independientes
bull Plan de Respaldo crear y conservar en un lugar seguro copias de seguridad de la informacioacuten
bull Pla de Emergencia queacute medidas tomar cuando se estaacute materializando una amenaza o cuando acaba de producirse
bull Plan de Recuperacioacuten medidas que se aplicaran cuando se ha producido un desastre El objetivo es evaluar el impacto y regresar lo antes posible
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 88
Plan de Contingencia
En la elaboracioacuten de este plan no se puede dejar por fuera a los miembros de la organizacioacuten el cual debe estar informado y entrenado para actuar en las funciones que le hayan sido encomendadas en caso de producirse una amenaza o impacto
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 89
Continuidad Operacional
Business Continuity Planning (Plan de Continuidad de negocios)
bull Plan Baacutesico
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Coldsite)
bull Plan Intermedio
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan Alto
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan de respuesta y continuidad de negocios alternativo (sin asistencia de sistemas)
bull Stress Testing al Plan
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 90
El Stress Testing
bull Poner a prueba el planbull Revise y evalueacute
bull Respaldosbull Oportunidad integridad y funcionalidadbull Custodia y transporte
bull Cold y Hotsitebull Funcionalidad accesibilidad y compatibilidadbull Actualizacioacuten oportuna (hotsite)
bull Personalbull Roles y funcionesbull Accesibilidad (contactos y comunicaciones)
bull Simulacioacuten de cataacutestrofesbull Sin previo aviso el director encargado del BCP se presenta en el centro de computo
cronometro en mano y baja la cuchilla de electricidad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 91
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de Lehman Brothers
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el WorldTrade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehman se desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del World Trade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehman teniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 92
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de LehmanBrothers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 93
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el World Trade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehmanse desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 94
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del WorldTrade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehmanteniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 95
La Contingencia Manual la Uacuteltima Frontera
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 96
05062015 97
DATOS BAacuteSICOS
Responsable A Nivel Corporativo Responsable(s) A Nivel Regional
PROVEEDOR (ES)
Origen Responsable Insumo (s)
RESULTADOS
Normas y Procedimientos Asociados Fecha uacuteltima revisioacuten Sistemas Aplicaciones Asociadas
Proceso
CALIFICACIOacuteN DE CONTROLES DE ENTRADA
Actividad
RECOMENDACIONES
Procesamiento
Automaacutetico (A)Manual (M)
Frecuencia
Adiestramiento Proceso Sistema N y P Otros
Negocio Area Localidad
Responsable
Nombre CargoNombre Cargo
NOMBRE
ELABORADO POR
CARGO FIRMA
Calidad de Data (B) Buena (R) Regular (M) Mala Oportunidad (AT) A Tiempo (R) Retrasada Revisioacuten Aprobacioacuten (S) Si (N) NoLEYENDA
Calificacioacuten (F) Fuerte (M) Medio (B) Bajo
DescripcioacutenResponsableDescripcioacuten
Tarea
Descripcioacuten
FRECUENCIA DE LA TAREA Diaria (D) Semanal (S) Mensual (M) Trimestral (T) Anual (A) Ocasional (O)
Soportes Recepcioacuten (P) Papel (E) Electroacutenico Archivo (S) Si (N) No Soportes Enviacuteo (S) Si (N) No Backup (S) Si (N) No
Producto (s) Cliente ReceptorControl
de salida
SoportesFrecuencia
Recepcioacuten Backup
DOCUMENTOS SISTEMAS ASOCIADOS A LOS CONTROLES
CALIFICACIOacuteN DE CONTROLES (por parte del Cliente Receptor)
Revisioacuten
Aprobacioacuten
Revisioacuten
AprobacioacutenTipo de control
Procesamiento
Automaacutetico (A)Manual (M)
Control
De EntradaTipo de control
Soportes
Recepcioacuten Archivo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 98
DATOS BAacuteSICOS
TareaActividad
Proceso Responsable del Proceso
Fecha de Elaboracioacuten 2015
Accioacuten (es) Responsable (s)
OBSERVACIONES ELABORADO POR
FIRMA
NOMBRE
Plan de recuperacioacuten y Reactivacioacuten de Finanzas
Recomendaciones Acciones
La Cadena de Valor de una Organizacioacuten de Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 99
ASESORAR EN CONTROLES DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR DELEGACIONES FINANCIERAS
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
CONTROLAR SEGURIDAD SISTEMA
OPERACIONALES ADMINISTRATIVOS Y OTROS
SISTEMAS FINANCIEROS
DESARROLLAR CONTROLES
DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR Y DESARROLLAR PLAN INTEGRAL DE CONTROL ( PIC )
Asesorar en controles de procesos normas y
Procedimientos
Administrar delegaciones financieras
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
Controlar seguridad sistema
operacionales administrativos y otros
sistemas financieros
Desarrollar
controles de
procesos
normas y
procedimientos
Administrar y desarrollar plan integral de control ( PIC )
iquestQueacute se debe garantizar
bull Confidencialidad Se garantiza que la informacioacuten es accesible soacutelo a aquellas personas autorizadas a tener acceso a la misma
bull Integridad Se salvaguarda la exactitud y totalidad de la informacioacuten y los meacutetodos de procesamiento
bull Disponibilidad Se garantiza que los usuarios autorizados tienen acceso a la informacioacuten y a los recursos relacionados con la misma toda vez que se requiera
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 12
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 13
iquestQueacute es una poliacutetica de seguridad
Una directriz que contendraacute los objetivos de la empresa en materia de seguridad del sistema de informacioacuten
Estos objetivos se engloban en cuatro grupos
bull Identificar
bull Relacionar
bull Proporcionar
bull Detectar
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 14
Alcance de la Poliacutetica de Seguridad
bullNecesidades de seguridad
bullRiesgos que amenazan el sistema
bull Impactos ante un ataque ndashevaluarlos-Identificar
bullMedidas de seguridad para afrontar riesgos de activos o grupos de activosRelacionar
bullPerspectiva general de las reglas y procedimientos para afrontar riesgos identificados en los diferentes departamentosProporcionar
bullVulnerabilidades del sistema de informacioacuten
bullControlar los fallos producidosDetectar
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 15
Anaacutelisis de Riesgo
Estrategias de Recuperacioacuten
Desarrollo de las Estrategias
Desarrollo de los Procedimientos
Pruebas y Entrenamiento
Plan de Mantenimiento
Consecuencia de la Poliacutetica de Seguridad
bull La definicioacuten del plan de contingencias es uno de los resultados y parte de la poliacutetica de seguridad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 16
Esta norma define una poliacutetica de autorizacioacuten geneacuterica la cual puede formularse de la siguiente forma
ldquoLa informacioacuten no puede darse ni puede permitirse el acceso a ella ni se puede permitir que sea inferida ni se puede utilizar ninguacuten recurso por parte de personas o entidades que no estaacuten autorizadas de forma apropiadardquo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 17
bull Determinacioacuten del acceso y uso de los recursos en base a las identidades de los usuarios y recursos
Poliacuteticas Basadas en Identidad
bull El acceso a los recursos se controla a traveacutes de reglas globales impuestas a todos los usuarios por ejemplo utilizando etiquetas de seguridad
Poliacuteticas Basadas en Reglas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 18
bull Autenticacioacuten tanto de entidades como de origen
bull Control de acceso
bull Confidencialidad de los datos
bull Integridad de los datos
bull No repudio
Define cinco categoriacuteas principales de servicios
de seguridad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 19
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 20
Propietariosvaloran
Quieren minimizar
Salvaguardasdefinen
Pueden tener conciencia de
Amenazasexplotan
VulnerabilidadesPermiten o facilitan
Dantildeo
RECURSOSQue pueden tener
Reducen
RIESGO
Fecha __ __ __
Componente Supervisioacuten
Formulario nuacutemero 6 - Mapeo de Riesgos resultado de la evaluacioacuten de Efectividad Eficiencia y Cumplimiento de los Controles
Fecha ________
Entidad evaluada _____________ Proceso _____________________________________Sub Proceso_______________________________________Etapa sub proceso________________________
Elaborado por____________________________________Aprobado Por_________________________________ Pag __ de __
8 500
3 300
0
3
6
9
12
0 3 6 9 12
PR
OB
AB
ILID
AD
IMPACTO
MAPA DE RIESGOS
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 21
Responsabilidad de la Gerencia
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 22
Seguridad Informaacutetica ISOIEC 27001
ldquoLa seguridad informaacutetica consiste en la implantacioacuten de un conjunto de medidas teacutecnicas destinadas a preservar la confidencialidad la integridad y la disponibilidad de la informacioacuten pudiendo ademaacutes abarcar otras propiedades como la autenticidad la responsabilidad la fiabilidad y el no repudiordquo
Es la definicioacuten ofrecida por el estaacutendar para la seguridad de la informacioacuten ISOIEC 27001 aprobado y publicado en octubre de 2005 por la International Organization for Standardization (ISO) y por la comisioacuten International Electrotechnical Commission (IEC)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 23
Estructura Organizacional
Poliacutetica de Seguridad
Organizacioacuten de la Seguridad de la Informacioacuten
Gestioacuten de Activos Control de Acceso
Cumplimiento Conformidad Informacioacuten de gestioacuten de incidentes de seguridad
Seguridad de los recursos humanos
Gestioacuten de continuidad del negocio
Sistemas de Informacioacuten de adquisicioacuten desarrollo y mantenimiento
Comunicacioacuten y gestioacuten de operaciones
Seguridad fiacutesica y ambiental
Los 11 dominios de la ISOIEC 27001bull Poliacutetica de Seguridadbull Organizacioacuten de la seguridad de la
informacioacutenbull Gestioacuten de Activosbull Seguridad de los recursos humanosbull Seguridad fiacutesica y ambientalbull Comunicacioacuten y gestioacuten de
operacionesbull Control de accesobull Sistemas de informacioacuten de
adquisicioacuten desarrollo y mantenimiento
bull Informacioacuten de gestioacuten de incidentes de seguridad
bull Gestioacuten de continuidad del negociobull Cumplimiento Conformidad
Gerencia
Operaciones
Leyenda
Aspectos Gerenciales
Aspectos Teacutecnicos
Aspectos Fiacutesicos
Riesgos Amenazas
VulnerabilidadesGestioacuten de Riesgos en TI
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 25
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 26
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 27
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
DE ATAQUES INTERNOS PARA DANtildeAR DATOS O SISTEMAS FRAUDES ERRORES EN EL MANEJO DE
SISTEMAS
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 28
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 29
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 30
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 31
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Seguridad Informaacutetica a Nivel de Usuarios
bull Los usuarios se acostumbran a usar la tecnologiacutea sin saber como funciona o de los riesgos que pueden correr
bull Son el punto de entrada de muchos de los problemas croacutenicos
bull Son ldquoEl eslaboacuten maacutes deacutebilrdquo en la cadena de seguridad
Usuarios comunes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 32
Seguridad Informaacutetica a Nivel de Usuarios
bull Principio del MENOR PRIVILEGIO POSIBLE
bull EDUCAR AL USUARIO
Dos enfoques para
controlarlos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 33
Seguridad Informaacutetica a Nivel de Usuarios
Principio del MENOR PRIVILEGIO POSIBLE Implica seguridad de
acceso al sistema (usuario password perfiles de usuario de
manera transaccional ndash seguridad por posicioacuten workflow)
bull Reducir la capacidad de accioacuten del usuario sobre los sistemas
bull Objetivo Lograr el menor dantildeo posible en caso de incidentes
Administracioacuten de privilegios
bull Usuarios uacutenicos e intransferibles
bull Procesos de desactivacioacuten de cuentas y activacioacuten del reemplazo (en periacuteodos vacacionales y de reposos)
bull Administracioacuten de claves de acceso
bull Alfanumeacutericas + caracteres especiales + mayuacutesculas minuacutesculas
bull Caducidad
bull Bloqueo por intentos fallidos
bull Prohibicioacuten de palabras y datos de uso comuacuten o asociadas al usuario
bull Reseteo de clave de forma automaacutetica con preguntas de desafiacuteo (pe usando datos encriptados que solo el usuario conoce como fecha de ingreso a la empresa)
bull Perfil de usuario
bull De acuerdo a la actividad y delegacioacuten de autoridad de acuerdo a su posicioacuten y responsabilidades
bull Esquemas de proteccioacuten de datos e informacioacuten (Privado Confidencial y Estrictamente Privado y Confidencial) seguacuten la posicioacuten y actividades (previendo delincuencia comuacuten o DDOO)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 34
Seguridad Informaacutetica a Nivel de Usuarios
EDUCAR AL USUARIO
bull Documentar y publicar todas las normas y procedimientos asociados
bull Generar una cultura de seguridad El usuario ayuda a reforzar y aplicar los mecanismos de seguridad
bull Objetivo Reducir el nuacutemero de incidentes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 35
Adicionales a los que ya
se mostroacute para
usuarios comunes se
debe
bull Seguridad de acceso a las instalaciones (aacuterea de desarrollo y aacuterea de servidores o main frame)
bull Poliacutetica de respaldo de informacioacuten y programas que incluyan backups in situ outside a modo copia espejo e incremental (solo variaciones)
bull Poliacuteticas de sustraccioacuten de datos incluyendo el uso de CDROM y Pendrivers (Wikiliks)
bull Crear ambientes de desarrollo de software aislados de los ambientes de produccioacuten (operaciones de la empresa) y de prueba Crear ambientes de prueba con participacioacuten funcional
bull Crear protocolos de procesos de cambio (implantacioacuten de sistemas actualizacioacuten de software incluidos los sistemas operativos) que incluyan respaldo total de programas y datos a modo espejo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 36
Seguridad Informaacutetica a Nivel de Usuarios
Vulnerabilidad
bull En un sistema informaacutetico lo que queremos proteger son sus activos es decir los recursos que forman parte del sistema y que podemos agrupar enbull - Hardware - Software
bull - Datos - Otros
bull Los mas criacuteticos son los datos el hardware y el software Es decir los datos que estaacuten almacenados en el hardware y que son procesados por las aplicaciones software
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 37
Vulnerabilidad
bull Es la debilidad de cualquier tipo que compromete la seguridad del sistema informaacutetico
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 38
Disentildeobull Debilidad en el disentildeo de protocolos utilizados en las redes
bull Poliacuteticas de seguridad deficientes e inexistentes
Implementacioacuten
bull Errores de programacioacuten
bull Existencia de ldquopuertas traserasrdquo en los sistemas informaacuteticos
bull Descuido de los fabricantes
Uso
bull Mala configuracioacuten de los sistemas informaacuteticos
bull Desconocimiento y falta de sensibilizacioacuten de los usuarios y de los responsables de informaacutetica
bull Disponibilidad de herramientas que facilitan los ataques
bull Limitacioacuten gubernamental de tecnologiacuteas de seguridad
Vulnerabilidades conocidas
bull Firewall
bull Antivirus
bull Malware
bull Antispy
bull Protocolos de encriptacioacuten
bull Firmas digitales
bull Monitoreo de redes (Comunity Manager)
Consisten en ataques
intercepciones de datos y enviacuteo de
informacioacuten usurpando identidad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 39
Vulnerabilidades
bull Ataques contra el flujo de la informacioacuten FLUJO NORMAL
Los mensajes en una red se enviacutean a partir de un emisor a uno o varios receptores
El atacante es un tercer elemento en la realidad existen millones de elementos atacantesintencionales o accidentales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 40
Emisor Receptor
Atacante
bull INTERRUPCIONbull El mensaje no puede llegar a su destino un recurso del sistema es destruido o
temporalmente inutilizado
bull Este es un ataque contra la Disponibilidad
bull Ejemplos Destruccioacuten de una pieza de hardware cortar los medios de comunicacioacuten o deshabilitar los sistemas de administracioacuten de archivos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 41
Vulnerabilidades
Emisor
Atacante
Receptor
Vulnerabilidades
bull INTERCEPCIONbull Una persona computadora o programa sin autorizacioacuten logra el acceso a un
recurso controlado
bull Es un ataque contra la Confidencialidad
bull Ejemplos Escuchas electroacutenicos copias iliacutecitas de programas o datos escalamiento de privilegios
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 42
Emisor
Atacante
Receptor
Vulnerabilidades
bull MODIFICACIONbull La persona sin autorizacioacuten ademaacutes de lograr el acceso modifica el mensaje
bull Este es un ataque contra la Integridad
bull Ejemplos Alterar la informacioacuten que se transmite desde una base de datos modificar los mensajes entre programas para que se comporten diferente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 43
bull FABRICACIONbull Una persona sin autorizacioacuten inserta objetos falsos en el sistemabull Es un ataque contra la Autenticidadbull Ejemplos Suplantacioacuten de identidades robo de sesiones robo de contrasentildeas
robo de direcciones IP etcbull Es muy difiacutecil estar seguro de quieacuten esta al otro lado de la liacutenea
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 44
Vulnerabilidades
Emisor
Atacante
Receptor
iquestQuienes Atacan los Sistemas
Gobiernos Extranjeros
Espiacuteas industriales o poliacuteticos
Criminales
Empleados descontentos y abusos internos
Adolescentes sin nada que hacer
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 45
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 46
Estado del ataque Ejemplo de Acciones
1-Buacutesqueda de Ingreso Correr un scanner de puertos
2-Penetracioacuten Explorar un sistema sin parches de seguridad
3-Elevacioacuten de Privilegios Lograr cuenta de Administrador
5-Enmascaramiento Borrado de rastros del ingreso y ataque
4-Ataque en si mismo Robo de datos destruccioacuten del sitio web etc
INTRUSO
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 47
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 48
Actuacioacuten del Criminal
bull Se requieren talentos especiales
bull El fraude ha crecido gracias a la aparicioacuten de las computadoras
Mitos
bull Dinero
bull Satisfaccioacuten (egocentrismo)
bull Ideologiacutea
bull Psicosis
Motivaciones personales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 49
bull Ambiente de trabajo
bull Prestaciones
bull Nivel de confianza interpersonal
bull Eacutetica ambiental
bull Nivel de stress
bull AMBIENTE DE CONTROL INTERNO
Motivaciones ambientales
Ethical Hacking
Es una intrusioacuten eacutetica es la aplicacioacuten de herramientas de intrusioacuten penetracioacuten robo personificacioacuten y negacioacuten de servicio llevado a cabo por hackers eacuteticos es decir personas con la experiencia y conocimiento suficiente para llevar a cabo estas pruebas en nombre de la organizacioacuten es decir de manera legal y prevista para determinar el nivel de seguridad de una red de equipos o servicios (incluido el aspecto de ingenieriacutea social)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 50
Ethical Hacking
bull al conocer el nivel de seguridad que se tiene en nuestra organizacioacuten es mucho maacutes sencillo no simple el tomar medidas que puedan subsanar estas deficienciasiquestPor queacute es
Importante
bull No al usar las armas que el enemigo usa es maacutes factible que podamos determinar el nivel de riesgo y por tanto la respuesta que debemos dar ante un ataque vieacutendolo como analogiacutea meacutedica es como cuando nos vacunan pues nos inoculan una versioacuten del virus del cual nos quieren hacer inmunes
iquestNo es contraproducente
bull Al contratar un servicio o realizarlo de manera interna estamos confiando en la eacutetica profesional de quien evaluacutea por lo que siacute siempre llevamos un riesgo pero se establece un contrato de buena fe hacieacutendolo suficientemente fiable (asegurando)iquestEs fiable
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 51
Ejemplos de Criacutemenes Electroacutenicos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 52
Ataque en 1986 de alemanes trabajando para la KGB contra sistemas estrateacutegicos de EEUU (Clifford Stoll Cuckooacutes egg)
El gusano Morris que se propagoacute por internet en 1988
causando un problema de DoS La causa fue la interrupcioacuten
causada por un programa escrito por Robert Tappan Morris
414 Gang enviacutea ataques contra los registros meacutedicos del
hospital para enfermos de caacutencer Sloan-Kettering
Ataques de Kevin Mitnick 1989-1996
Penetracioacuten de la red de Microsoft en octubre de 2000
por un cracker que ganoacute acceso a programas en desarrollo
Esparcimiento del Love Letter difundido por Onel Guzmaacuten en
Filipinas
53
DDoS contra Yahoo Amazon y Zdnet
Muacuteltiples problemas por virus desde
entonces
Target (Robo de informacioacuten de clientes
Identidad y datos financieros)
Juegos del Hambre
Ataque a Sony (Cyberterrorismo) y la
Respuesta con el apagoacuten de internet a
Korea del Norte
Carnabank (Europa oriental europa
occidental EEUU Panamaacute)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
Ejemplos de Criacutemenes Electroacutenicos
Algunas Clases de Ataques
Negacioacuten de Servicio (DoS)
Robo de contrasentildeas
Robo de identidad
Ingenieriacutea social
Defacement
FraudePirateriacutea de
softwareDumpster
divingCoacutedigo
MaliciosoIP spoofing
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 54
Algunas Clases de Ataques
EspionajeDestruccioacuten o alteracioacuten de informacioacuten
Uso de scripts de ataque
desarrolladosPhishing
Ciber -Terrorismo
War DialingWar
DrivingWalkingWar Chalking
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 55
El Caso Carbanak 1MMMUS$
La banda delictiva ciberneacutetica CARBANAK roba mil millones de doacutelares de 100 instituciones financieras en todo el mundo Kaspersky Lab la INTERPOL EUROPOL y autoridades de diferentes paiacuteses han unido sus fuerzas para dejar al descubierto el complot delictivo de un robo ciberneacutetico sin precedentes Hasta mil millones de doacutelares americanos fueron robados en cerca de dos antildeos de instituciones financieras en todo el mundo Los expertos informan que la responsabilidad del robo recae en una banda multinacional de ciberdelincuentesde Rusia Ucrania y otras partes de Europa asiacute como de China
La banda CARBANAK responsable del robo ciberneacutetico utilizoacute teacutecnicas extraiacutedas del arsenal de los ataques selectivos El complot marca el inicio de una nueva etapa en la evolucioacuten de la actividad de delincuencia ciberneacutetica donde usuarios maliciosos roban dinero directamente de los bancos y evitan concentrar sus ataques en los usuarios finales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 56
Comunicado de prensa 160215 - Karpersky
5705062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
MALWARE
El malware es un tipo de software que tiene como objetivo infiltrarse o dantildear un ordenador sistema de informacioacuten sin el consentimiento de su propietario
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 58
POPUP
bull Un pop-up es un tipo de ventana web que aparece delante de la ventana de un navegador al visitar una paacutegina web
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 59
VOLVER
ADWARE
bull Un programa de clase adware es cualquier programa que automaacuteticamente muestra publicidad web al usuario durante su instalacioacuten o durante su uso para generar lucro a sus autores
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 60
SPAM
bull Se llama spam correo basura a los mensajes no solicitados no deseados o de remitente no conocido habitualmente de tipo publicitario generalmente enviados
en grandes cantidades que perjudican al receptor
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 61
Bomba Loacutegica
Son programas informaacuteticos que se instala en un ordenador y permanece oculto hasta cumplirse una o maacutes condiciones preprogramadas para en ese momento ejecutar una accioacuten
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 62
volver
VIRUS DE MACROS
bull Es una secuencia de oacuterdenes de teclado y ratoacuten asignadas a una sola tecla Los virus de macros afectan a archivos y plantillas que los contienen hacieacutendose pasar por una macro y no actuaraacuten hasta que el archivo se abra o utilice
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 63
VOLVER
VIRUS RESIDENTES
bull Se colocan automaacuteticamente en la memoria RAM del ordenador De este modo pueden controlar e interceptar todas las operaciones llevadas a cabo por el sistema operativo infectando todos aquellos ficheros yo programas que sean ejecutados abiertos cerrados renombrados copiados etc
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 64
VIRUS DE ENLACE
bull Modifican las direcciones que permiten a nivel interno acceder a cada uno de los archivos existentes y como consecuencia no es posible localizarlos y trabajar con ellos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 65
VOLVER
VIRUS MUTANTES
bull Son virus que mutan es decir x Debido a estas mutaciones cada generacioacuten de virus es diferente a la versioacuten anterior dificultando asiacute su deteccioacuten y eliminacioacuten
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 66
VIRUS DE BOOT
bull Se activan en el momento en el que se arranca el ordenador desde un disco infectado ya sea desde el disco duro o desde una memoria USB
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 67
VOLVER
VIRUS DE PROGRAMA
bull Comuacutenmente infectan archivos con extensiones EXE COM OVL DRV BIN DLL y SYS
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 68
VOLVER
VIRUS DE SOBREESCRITURA
bull Sobre-escriben en el interior de los archivos atacados haciendo que se pierda el contenido de los mismos
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 69
Ataques de Seguridad
bull Spyware Es un software de computadoraque al instalarse intercepta o toma controlparcial de la interaccioacuten de lacomputadora y el usuario esto sin que elmismo se de cuenta Estos programaspueden recolectar diferentes tipos deinformacioacuten de los usuarios asiacute comoinstalar software adicional sin elconsentimiento de los mismos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 70
71
Herramientas de Seguridad
bull Gusano Es un programa de computadora quepuede replicarse a si mismo utiliza la red paraenviar copias de si mismo a otros nodos y lopuede hacer sin la intervencioacuten del usuario
A diferencia de los ldquovirusrdquo los gusanos nonecesitan estar amarrados a un programa y sufuncioacuten es principalmente dantildear la red (ejdesempentildeo) mientras que los virus dantildeanarchivos en computadoras
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
72
Ataques de Seguridad
bull Caballo de Troya Es una programa que seinstala bajo la creencia de que se estainstalando alguna otra cosa Los troyanosson programas muy utilizados parainstalar programas tipo ldquobackdoorsrdquo quepermiten el acceso no autorizado a lacomputadora atacada un ejemplo deprogramas tipo backdoor son losKeyloogers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
73
Ataques de Seguridad
bull DoS Denial of service- Ataques quehacen indisponible un servicio a losusuarios
bull DDoS Son conocidos como DNSBackbone Distributed Denial ofServices ndash Ataques tienen comoblanco los servidores raiacutez DNS por lotanto afectan uno de los pilares delInternet los nombres de los dominios
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
74
Ataques de Seguridad
bull Footprinting Teacutecnica utilizada para reunir informacioacuten acerca de sistemas computacionales y las entidades a las que pertenece algunos ejemplos son
- Domain queries
- Network queries
- Organizational queries
- TCP scans
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
75
Ataques de Seguridad
bull Fingerprinting Tambieacuten es conocidocomo TCPIP stack fingerprinting y esutilizado para determinar que sistemaoperativo utiliza alguacuten blanco en la redExiste dos tipos de fingerprinting
- Pasivo- Activo
NMAP es una herramienta que utilizafingerprinting activo para mapearpuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
76
Ataques de Seguridad
bull Escaneo de puertos El escaneo depuertos se basa en el FingerprintingActivo es decir transmite y recibesentildeales como ICMP TELNET SNMPdesde un blanco determinado en lared esto con el fin de obtenerinformacioacuten de dicho blanco en estecaso informacioacuten acerca de suspuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
77
Ataques de Seguridad
bull Sniffing Para llevar a cabo el sniffing esnecesario contar con un ldquopacket snifferrdquoque puede ser software instalado en unacomputadora o un dispositivoindependiente (appliance) estedispositivo es utilizado para interceptar yregistrar traacutefico que pasa a traveacutes de unared o de un segmento de la misma(Puede ser de una red ethernet owireless)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
78
Ataques de Seguridad
bull Spoofing Los ataques tipo spoofing sonaquellos en los que una persona oprograma logra hacerse pasar por otrafalsificando informacioacuten o utilizando laingenieriacutea algunos ataques tipo spoofingson los siguientes
- Falsificacioacuten de direccioacuten de email
- Falsificacioacuten de ID de llamadas telefoacutenicas
- Falsificacioacuten de sitios de internet (phishing)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
79
Ataques de Seguridad
bull Phishing Es el uso de teacutecnicas deingenieriacutea social con la finalidad deadquirir de manera fraudulentainformacioacuten confidencial comonombres de usuarios contrasentildeasinformacioacuten de tarjetas de creacutedito
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
80
Ataques de Seguridad
bull Ingenieriacutea Social Se refiere a unacoleccioacuten de teacutecnicas utilizadas paramanipular a las personas para querealicen alguna accioacuten o divulgueninformacioacuten confidencial
Algunos ingenieros sociales notablesson
- Kevin Mitnik
- Frank Abagnale
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
Ingenieriacutea Social
Es el conjunto de meacutetodos y praacutecticas usados para obtener informacioacuten de usuarios legiacutetimos y con la informacioacuten obtenida lograr acceso a sistemas protegidos siendo esta praacutectica de uso comuacuten entre piratas informaacuteticos y delincuentes computacionales
Coacutemo me afecta Al no validar las referencias o no seguir el protocolo de seguridad adecuado para divulgar contrasentildeas o cualquier otra informacioacuten sensible podemos ser coacutemplices de un crimen Meacutexico ha acordado con organismos internacionales la homologacioacuten yo adecuacioacuten de coacutedigos penales para que estos delitos sean perseguidos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 81
Ingenieriacutea Social
Coacutemo puedo saber si estoy siendo viacutectima de un ingeniero social Muy simple cuando alguien nos pide alguacuten tipo de informacioacuten privilegiada y esta persona es insistente cuando le requerimos seguir un protocolo para validar su intencioacuten es altamente probable que estemos siendo viacutectimas de un intento de robo de informacioacuten por un ingeniero socialhacker
Coacutemo puedo evitarlo Sencillo si no confiamos en la persona que nos solicita los datos (supongamos un teacutecnico de soporte de nuestro lugar de trabajo) podemos pedirle que nos deje sus datos y comunicarnos con el 10 minutos despueacutes de validar que la peticioacuten es legiacutetima es decir soacutelo sigamos los protocolos que existen en el trabajo y crear los propios en casa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 82
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra los Sistemas que Utilizan Tecnologiacuteas de Informacioacuten
bull Artiacuteculo 6 Acceso indebido
bull Artiacuteculo 7 Sabotaje o dantildeo a sistemas
bull Artiacuteculo 8 Favorecimiento culposo del sabotaje o dantildeo
bull Artiacuteculo 9 Acceso indebido o sabotaje a sistemas protegidos
bull Artiacuteculo 10 Posesioacuten de equipos o prestacioacuten de servicios de sabotaje
bull Artiacuteculo 11 Espionaje informaacutetico
bull Artiacuteculo 12 Falsificacioacuten de documentos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 83
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Propiedad
bull Artiacuteculo 13 Hurto
bull Artiacuteculo 14 Fraude
bull Artiacuteculo 15 Obtencioacuten indebida de bienes o servicios
bull Artiacuteculo 16 Manejo fraudulento de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 17 Apropiacioacuten de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 18 Provisioacuten indebida de bienes o servicios
bull Artiacuteculo 19 Posesioacuten de equipo para falsificaciones
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 84
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Privacidad de las Personas y de las Comunicaciones
bullArtiacuteculo 20 Violacioacuten de la privacidad de la data o informacioacuten de caraacutecter personal
bullArtiacuteculo 21 Violacioacuten de la privacidad de las comunicaciones
bullArtiacuteculo 22 Revelacioacuten indebida de data o informacioacuten de caraacutecter personal
De los Delitos Contra Nintildeos Nintildeas o Adolescentes
bullArtiacuteculo 23 Difusioacuten o exhibicioacuten de material pornograacutefico
bullArtiacuteculo 24 Exhibicioacuten pornograacutefica de nintildeos o adolescentes
De los Delitos Contra el Orden Econoacutemico
bullArtiacuteculo 25 Apropiacioacuten de propiedad intelectual
bullArtiacuteculo 26 Oferta engantildeosa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 85
Plan de Contingencia Continuidad Operacional
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 86
Plan de Contingencia
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 87
ldquoConjunto de Normas y Procedimientos documentadosy comunicados que tienen por objetivo minimizar los riesgos informaacuteticos mas probablesrdquo
InvolucrabullUso de herramientas
bullCumplimiento de Tareas por
parte de personas
Plan de Contingencia
Consta de tres subplanes independientes
bull Plan de Respaldo crear y conservar en un lugar seguro copias de seguridad de la informacioacuten
bull Pla de Emergencia queacute medidas tomar cuando se estaacute materializando una amenaza o cuando acaba de producirse
bull Plan de Recuperacioacuten medidas que se aplicaran cuando se ha producido un desastre El objetivo es evaluar el impacto y regresar lo antes posible
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 88
Plan de Contingencia
En la elaboracioacuten de este plan no se puede dejar por fuera a los miembros de la organizacioacuten el cual debe estar informado y entrenado para actuar en las funciones que le hayan sido encomendadas en caso de producirse una amenaza o impacto
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 89
Continuidad Operacional
Business Continuity Planning (Plan de Continuidad de negocios)
bull Plan Baacutesico
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Coldsite)
bull Plan Intermedio
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan Alto
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan de respuesta y continuidad de negocios alternativo (sin asistencia de sistemas)
bull Stress Testing al Plan
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 90
El Stress Testing
bull Poner a prueba el planbull Revise y evalueacute
bull Respaldosbull Oportunidad integridad y funcionalidadbull Custodia y transporte
bull Cold y Hotsitebull Funcionalidad accesibilidad y compatibilidadbull Actualizacioacuten oportuna (hotsite)
bull Personalbull Roles y funcionesbull Accesibilidad (contactos y comunicaciones)
bull Simulacioacuten de cataacutestrofesbull Sin previo aviso el director encargado del BCP se presenta en el centro de computo
cronometro en mano y baja la cuchilla de electricidad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 91
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de Lehman Brothers
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el WorldTrade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehman se desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del World Trade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehman teniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 92
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de LehmanBrothers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 93
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el World Trade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehmanse desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 94
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del WorldTrade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehmanteniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 95
La Contingencia Manual la Uacuteltima Frontera
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 96
05062015 97
DATOS BAacuteSICOS
Responsable A Nivel Corporativo Responsable(s) A Nivel Regional
PROVEEDOR (ES)
Origen Responsable Insumo (s)
RESULTADOS
Normas y Procedimientos Asociados Fecha uacuteltima revisioacuten Sistemas Aplicaciones Asociadas
Proceso
CALIFICACIOacuteN DE CONTROLES DE ENTRADA
Actividad
RECOMENDACIONES
Procesamiento
Automaacutetico (A)Manual (M)
Frecuencia
Adiestramiento Proceso Sistema N y P Otros
Negocio Area Localidad
Responsable
Nombre CargoNombre Cargo
NOMBRE
ELABORADO POR
CARGO FIRMA
Calidad de Data (B) Buena (R) Regular (M) Mala Oportunidad (AT) A Tiempo (R) Retrasada Revisioacuten Aprobacioacuten (S) Si (N) NoLEYENDA
Calificacioacuten (F) Fuerte (M) Medio (B) Bajo
DescripcioacutenResponsableDescripcioacuten
Tarea
Descripcioacuten
FRECUENCIA DE LA TAREA Diaria (D) Semanal (S) Mensual (M) Trimestral (T) Anual (A) Ocasional (O)
Soportes Recepcioacuten (P) Papel (E) Electroacutenico Archivo (S) Si (N) No Soportes Enviacuteo (S) Si (N) No Backup (S) Si (N) No
Producto (s) Cliente ReceptorControl
de salida
SoportesFrecuencia
Recepcioacuten Backup
DOCUMENTOS SISTEMAS ASOCIADOS A LOS CONTROLES
CALIFICACIOacuteN DE CONTROLES (por parte del Cliente Receptor)
Revisioacuten
Aprobacioacuten
Revisioacuten
AprobacioacutenTipo de control
Procesamiento
Automaacutetico (A)Manual (M)
Control
De EntradaTipo de control
Soportes
Recepcioacuten Archivo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 98
DATOS BAacuteSICOS
TareaActividad
Proceso Responsable del Proceso
Fecha de Elaboracioacuten 2015
Accioacuten (es) Responsable (s)
OBSERVACIONES ELABORADO POR
FIRMA
NOMBRE
Plan de recuperacioacuten y Reactivacioacuten de Finanzas
Recomendaciones Acciones
La Cadena de Valor de una Organizacioacuten de Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 99
ASESORAR EN CONTROLES DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR DELEGACIONES FINANCIERAS
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
CONTROLAR SEGURIDAD SISTEMA
OPERACIONALES ADMINISTRATIVOS Y OTROS
SISTEMAS FINANCIEROS
DESARROLLAR CONTROLES
DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR Y DESARROLLAR PLAN INTEGRAL DE CONTROL ( PIC )
Asesorar en controles de procesos normas y
Procedimientos
Administrar delegaciones financieras
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
Controlar seguridad sistema
operacionales administrativos y otros
sistemas financieros
Desarrollar
controles de
procesos
normas y
procedimientos
Administrar y desarrollar plan integral de control ( PIC )
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 13
iquestQueacute es una poliacutetica de seguridad
Una directriz que contendraacute los objetivos de la empresa en materia de seguridad del sistema de informacioacuten
Estos objetivos se engloban en cuatro grupos
bull Identificar
bull Relacionar
bull Proporcionar
bull Detectar
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 14
Alcance de la Poliacutetica de Seguridad
bullNecesidades de seguridad
bullRiesgos que amenazan el sistema
bull Impactos ante un ataque ndashevaluarlos-Identificar
bullMedidas de seguridad para afrontar riesgos de activos o grupos de activosRelacionar
bullPerspectiva general de las reglas y procedimientos para afrontar riesgos identificados en los diferentes departamentosProporcionar
bullVulnerabilidades del sistema de informacioacuten
bullControlar los fallos producidosDetectar
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 15
Anaacutelisis de Riesgo
Estrategias de Recuperacioacuten
Desarrollo de las Estrategias
Desarrollo de los Procedimientos
Pruebas y Entrenamiento
Plan de Mantenimiento
Consecuencia de la Poliacutetica de Seguridad
bull La definicioacuten del plan de contingencias es uno de los resultados y parte de la poliacutetica de seguridad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 16
Esta norma define una poliacutetica de autorizacioacuten geneacuterica la cual puede formularse de la siguiente forma
ldquoLa informacioacuten no puede darse ni puede permitirse el acceso a ella ni se puede permitir que sea inferida ni se puede utilizar ninguacuten recurso por parte de personas o entidades que no estaacuten autorizadas de forma apropiadardquo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 17
bull Determinacioacuten del acceso y uso de los recursos en base a las identidades de los usuarios y recursos
Poliacuteticas Basadas en Identidad
bull El acceso a los recursos se controla a traveacutes de reglas globales impuestas a todos los usuarios por ejemplo utilizando etiquetas de seguridad
Poliacuteticas Basadas en Reglas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 18
bull Autenticacioacuten tanto de entidades como de origen
bull Control de acceso
bull Confidencialidad de los datos
bull Integridad de los datos
bull No repudio
Define cinco categoriacuteas principales de servicios
de seguridad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 19
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 20
Propietariosvaloran
Quieren minimizar
Salvaguardasdefinen
Pueden tener conciencia de
Amenazasexplotan
VulnerabilidadesPermiten o facilitan
Dantildeo
RECURSOSQue pueden tener
Reducen
RIESGO
Fecha __ __ __
Componente Supervisioacuten
Formulario nuacutemero 6 - Mapeo de Riesgos resultado de la evaluacioacuten de Efectividad Eficiencia y Cumplimiento de los Controles
Fecha ________
Entidad evaluada _____________ Proceso _____________________________________Sub Proceso_______________________________________Etapa sub proceso________________________
Elaborado por____________________________________Aprobado Por_________________________________ Pag __ de __
8 500
3 300
0
3
6
9
12
0 3 6 9 12
PR
OB
AB
ILID
AD
IMPACTO
MAPA DE RIESGOS
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 21
Responsabilidad de la Gerencia
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 22
Seguridad Informaacutetica ISOIEC 27001
ldquoLa seguridad informaacutetica consiste en la implantacioacuten de un conjunto de medidas teacutecnicas destinadas a preservar la confidencialidad la integridad y la disponibilidad de la informacioacuten pudiendo ademaacutes abarcar otras propiedades como la autenticidad la responsabilidad la fiabilidad y el no repudiordquo
Es la definicioacuten ofrecida por el estaacutendar para la seguridad de la informacioacuten ISOIEC 27001 aprobado y publicado en octubre de 2005 por la International Organization for Standardization (ISO) y por la comisioacuten International Electrotechnical Commission (IEC)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 23
Estructura Organizacional
Poliacutetica de Seguridad
Organizacioacuten de la Seguridad de la Informacioacuten
Gestioacuten de Activos Control de Acceso
Cumplimiento Conformidad Informacioacuten de gestioacuten de incidentes de seguridad
Seguridad de los recursos humanos
Gestioacuten de continuidad del negocio
Sistemas de Informacioacuten de adquisicioacuten desarrollo y mantenimiento
Comunicacioacuten y gestioacuten de operaciones
Seguridad fiacutesica y ambiental
Los 11 dominios de la ISOIEC 27001bull Poliacutetica de Seguridadbull Organizacioacuten de la seguridad de la
informacioacutenbull Gestioacuten de Activosbull Seguridad de los recursos humanosbull Seguridad fiacutesica y ambientalbull Comunicacioacuten y gestioacuten de
operacionesbull Control de accesobull Sistemas de informacioacuten de
adquisicioacuten desarrollo y mantenimiento
bull Informacioacuten de gestioacuten de incidentes de seguridad
bull Gestioacuten de continuidad del negociobull Cumplimiento Conformidad
Gerencia
Operaciones
Leyenda
Aspectos Gerenciales
Aspectos Teacutecnicos
Aspectos Fiacutesicos
Riesgos Amenazas
VulnerabilidadesGestioacuten de Riesgos en TI
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 25
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 26
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 27
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
DE ATAQUES INTERNOS PARA DANtildeAR DATOS O SISTEMAS FRAUDES ERRORES EN EL MANEJO DE
SISTEMAS
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 28
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 29
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 30
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 31
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Seguridad Informaacutetica a Nivel de Usuarios
bull Los usuarios se acostumbran a usar la tecnologiacutea sin saber como funciona o de los riesgos que pueden correr
bull Son el punto de entrada de muchos de los problemas croacutenicos
bull Son ldquoEl eslaboacuten maacutes deacutebilrdquo en la cadena de seguridad
Usuarios comunes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 32
Seguridad Informaacutetica a Nivel de Usuarios
bull Principio del MENOR PRIVILEGIO POSIBLE
bull EDUCAR AL USUARIO
Dos enfoques para
controlarlos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 33
Seguridad Informaacutetica a Nivel de Usuarios
Principio del MENOR PRIVILEGIO POSIBLE Implica seguridad de
acceso al sistema (usuario password perfiles de usuario de
manera transaccional ndash seguridad por posicioacuten workflow)
bull Reducir la capacidad de accioacuten del usuario sobre los sistemas
bull Objetivo Lograr el menor dantildeo posible en caso de incidentes
Administracioacuten de privilegios
bull Usuarios uacutenicos e intransferibles
bull Procesos de desactivacioacuten de cuentas y activacioacuten del reemplazo (en periacuteodos vacacionales y de reposos)
bull Administracioacuten de claves de acceso
bull Alfanumeacutericas + caracteres especiales + mayuacutesculas minuacutesculas
bull Caducidad
bull Bloqueo por intentos fallidos
bull Prohibicioacuten de palabras y datos de uso comuacuten o asociadas al usuario
bull Reseteo de clave de forma automaacutetica con preguntas de desafiacuteo (pe usando datos encriptados que solo el usuario conoce como fecha de ingreso a la empresa)
bull Perfil de usuario
bull De acuerdo a la actividad y delegacioacuten de autoridad de acuerdo a su posicioacuten y responsabilidades
bull Esquemas de proteccioacuten de datos e informacioacuten (Privado Confidencial y Estrictamente Privado y Confidencial) seguacuten la posicioacuten y actividades (previendo delincuencia comuacuten o DDOO)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 34
Seguridad Informaacutetica a Nivel de Usuarios
EDUCAR AL USUARIO
bull Documentar y publicar todas las normas y procedimientos asociados
bull Generar una cultura de seguridad El usuario ayuda a reforzar y aplicar los mecanismos de seguridad
bull Objetivo Reducir el nuacutemero de incidentes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 35
Adicionales a los que ya
se mostroacute para
usuarios comunes se
debe
bull Seguridad de acceso a las instalaciones (aacuterea de desarrollo y aacuterea de servidores o main frame)
bull Poliacutetica de respaldo de informacioacuten y programas que incluyan backups in situ outside a modo copia espejo e incremental (solo variaciones)
bull Poliacuteticas de sustraccioacuten de datos incluyendo el uso de CDROM y Pendrivers (Wikiliks)
bull Crear ambientes de desarrollo de software aislados de los ambientes de produccioacuten (operaciones de la empresa) y de prueba Crear ambientes de prueba con participacioacuten funcional
bull Crear protocolos de procesos de cambio (implantacioacuten de sistemas actualizacioacuten de software incluidos los sistemas operativos) que incluyan respaldo total de programas y datos a modo espejo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 36
Seguridad Informaacutetica a Nivel de Usuarios
Vulnerabilidad
bull En un sistema informaacutetico lo que queremos proteger son sus activos es decir los recursos que forman parte del sistema y que podemos agrupar enbull - Hardware - Software
bull - Datos - Otros
bull Los mas criacuteticos son los datos el hardware y el software Es decir los datos que estaacuten almacenados en el hardware y que son procesados por las aplicaciones software
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 37
Vulnerabilidad
bull Es la debilidad de cualquier tipo que compromete la seguridad del sistema informaacutetico
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 38
Disentildeobull Debilidad en el disentildeo de protocolos utilizados en las redes
bull Poliacuteticas de seguridad deficientes e inexistentes
Implementacioacuten
bull Errores de programacioacuten
bull Existencia de ldquopuertas traserasrdquo en los sistemas informaacuteticos
bull Descuido de los fabricantes
Uso
bull Mala configuracioacuten de los sistemas informaacuteticos
bull Desconocimiento y falta de sensibilizacioacuten de los usuarios y de los responsables de informaacutetica
bull Disponibilidad de herramientas que facilitan los ataques
bull Limitacioacuten gubernamental de tecnologiacuteas de seguridad
Vulnerabilidades conocidas
bull Firewall
bull Antivirus
bull Malware
bull Antispy
bull Protocolos de encriptacioacuten
bull Firmas digitales
bull Monitoreo de redes (Comunity Manager)
Consisten en ataques
intercepciones de datos y enviacuteo de
informacioacuten usurpando identidad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 39
Vulnerabilidades
bull Ataques contra el flujo de la informacioacuten FLUJO NORMAL
Los mensajes en una red se enviacutean a partir de un emisor a uno o varios receptores
El atacante es un tercer elemento en la realidad existen millones de elementos atacantesintencionales o accidentales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 40
Emisor Receptor
Atacante
bull INTERRUPCIONbull El mensaje no puede llegar a su destino un recurso del sistema es destruido o
temporalmente inutilizado
bull Este es un ataque contra la Disponibilidad
bull Ejemplos Destruccioacuten de una pieza de hardware cortar los medios de comunicacioacuten o deshabilitar los sistemas de administracioacuten de archivos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 41
Vulnerabilidades
Emisor
Atacante
Receptor
Vulnerabilidades
bull INTERCEPCIONbull Una persona computadora o programa sin autorizacioacuten logra el acceso a un
recurso controlado
bull Es un ataque contra la Confidencialidad
bull Ejemplos Escuchas electroacutenicos copias iliacutecitas de programas o datos escalamiento de privilegios
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 42
Emisor
Atacante
Receptor
Vulnerabilidades
bull MODIFICACIONbull La persona sin autorizacioacuten ademaacutes de lograr el acceso modifica el mensaje
bull Este es un ataque contra la Integridad
bull Ejemplos Alterar la informacioacuten que se transmite desde una base de datos modificar los mensajes entre programas para que se comporten diferente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 43
bull FABRICACIONbull Una persona sin autorizacioacuten inserta objetos falsos en el sistemabull Es un ataque contra la Autenticidadbull Ejemplos Suplantacioacuten de identidades robo de sesiones robo de contrasentildeas
robo de direcciones IP etcbull Es muy difiacutecil estar seguro de quieacuten esta al otro lado de la liacutenea
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 44
Vulnerabilidades
Emisor
Atacante
Receptor
iquestQuienes Atacan los Sistemas
Gobiernos Extranjeros
Espiacuteas industriales o poliacuteticos
Criminales
Empleados descontentos y abusos internos
Adolescentes sin nada que hacer
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 45
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 46
Estado del ataque Ejemplo de Acciones
1-Buacutesqueda de Ingreso Correr un scanner de puertos
2-Penetracioacuten Explorar un sistema sin parches de seguridad
3-Elevacioacuten de Privilegios Lograr cuenta de Administrador
5-Enmascaramiento Borrado de rastros del ingreso y ataque
4-Ataque en si mismo Robo de datos destruccioacuten del sitio web etc
INTRUSO
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 47
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 48
Actuacioacuten del Criminal
bull Se requieren talentos especiales
bull El fraude ha crecido gracias a la aparicioacuten de las computadoras
Mitos
bull Dinero
bull Satisfaccioacuten (egocentrismo)
bull Ideologiacutea
bull Psicosis
Motivaciones personales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 49
bull Ambiente de trabajo
bull Prestaciones
bull Nivel de confianza interpersonal
bull Eacutetica ambiental
bull Nivel de stress
bull AMBIENTE DE CONTROL INTERNO
Motivaciones ambientales
Ethical Hacking
Es una intrusioacuten eacutetica es la aplicacioacuten de herramientas de intrusioacuten penetracioacuten robo personificacioacuten y negacioacuten de servicio llevado a cabo por hackers eacuteticos es decir personas con la experiencia y conocimiento suficiente para llevar a cabo estas pruebas en nombre de la organizacioacuten es decir de manera legal y prevista para determinar el nivel de seguridad de una red de equipos o servicios (incluido el aspecto de ingenieriacutea social)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 50
Ethical Hacking
bull al conocer el nivel de seguridad que se tiene en nuestra organizacioacuten es mucho maacutes sencillo no simple el tomar medidas que puedan subsanar estas deficienciasiquestPor queacute es
Importante
bull No al usar las armas que el enemigo usa es maacutes factible que podamos determinar el nivel de riesgo y por tanto la respuesta que debemos dar ante un ataque vieacutendolo como analogiacutea meacutedica es como cuando nos vacunan pues nos inoculan una versioacuten del virus del cual nos quieren hacer inmunes
iquestNo es contraproducente
bull Al contratar un servicio o realizarlo de manera interna estamos confiando en la eacutetica profesional de quien evaluacutea por lo que siacute siempre llevamos un riesgo pero se establece un contrato de buena fe hacieacutendolo suficientemente fiable (asegurando)iquestEs fiable
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 51
Ejemplos de Criacutemenes Electroacutenicos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 52
Ataque en 1986 de alemanes trabajando para la KGB contra sistemas estrateacutegicos de EEUU (Clifford Stoll Cuckooacutes egg)
El gusano Morris que se propagoacute por internet en 1988
causando un problema de DoS La causa fue la interrupcioacuten
causada por un programa escrito por Robert Tappan Morris
414 Gang enviacutea ataques contra los registros meacutedicos del
hospital para enfermos de caacutencer Sloan-Kettering
Ataques de Kevin Mitnick 1989-1996
Penetracioacuten de la red de Microsoft en octubre de 2000
por un cracker que ganoacute acceso a programas en desarrollo
Esparcimiento del Love Letter difundido por Onel Guzmaacuten en
Filipinas
53
DDoS contra Yahoo Amazon y Zdnet
Muacuteltiples problemas por virus desde
entonces
Target (Robo de informacioacuten de clientes
Identidad y datos financieros)
Juegos del Hambre
Ataque a Sony (Cyberterrorismo) y la
Respuesta con el apagoacuten de internet a
Korea del Norte
Carnabank (Europa oriental europa
occidental EEUU Panamaacute)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
Ejemplos de Criacutemenes Electroacutenicos
Algunas Clases de Ataques
Negacioacuten de Servicio (DoS)
Robo de contrasentildeas
Robo de identidad
Ingenieriacutea social
Defacement
FraudePirateriacutea de
softwareDumpster
divingCoacutedigo
MaliciosoIP spoofing
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 54
Algunas Clases de Ataques
EspionajeDestruccioacuten o alteracioacuten de informacioacuten
Uso de scripts de ataque
desarrolladosPhishing
Ciber -Terrorismo
War DialingWar
DrivingWalkingWar Chalking
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 55
El Caso Carbanak 1MMMUS$
La banda delictiva ciberneacutetica CARBANAK roba mil millones de doacutelares de 100 instituciones financieras en todo el mundo Kaspersky Lab la INTERPOL EUROPOL y autoridades de diferentes paiacuteses han unido sus fuerzas para dejar al descubierto el complot delictivo de un robo ciberneacutetico sin precedentes Hasta mil millones de doacutelares americanos fueron robados en cerca de dos antildeos de instituciones financieras en todo el mundo Los expertos informan que la responsabilidad del robo recae en una banda multinacional de ciberdelincuentesde Rusia Ucrania y otras partes de Europa asiacute como de China
La banda CARBANAK responsable del robo ciberneacutetico utilizoacute teacutecnicas extraiacutedas del arsenal de los ataques selectivos El complot marca el inicio de una nueva etapa en la evolucioacuten de la actividad de delincuencia ciberneacutetica donde usuarios maliciosos roban dinero directamente de los bancos y evitan concentrar sus ataques en los usuarios finales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 56
Comunicado de prensa 160215 - Karpersky
5705062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
MALWARE
El malware es un tipo de software que tiene como objetivo infiltrarse o dantildear un ordenador sistema de informacioacuten sin el consentimiento de su propietario
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 58
POPUP
bull Un pop-up es un tipo de ventana web que aparece delante de la ventana de un navegador al visitar una paacutegina web
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 59
VOLVER
ADWARE
bull Un programa de clase adware es cualquier programa que automaacuteticamente muestra publicidad web al usuario durante su instalacioacuten o durante su uso para generar lucro a sus autores
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 60
SPAM
bull Se llama spam correo basura a los mensajes no solicitados no deseados o de remitente no conocido habitualmente de tipo publicitario generalmente enviados
en grandes cantidades que perjudican al receptor
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 61
Bomba Loacutegica
Son programas informaacuteticos que se instala en un ordenador y permanece oculto hasta cumplirse una o maacutes condiciones preprogramadas para en ese momento ejecutar una accioacuten
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 62
volver
VIRUS DE MACROS
bull Es una secuencia de oacuterdenes de teclado y ratoacuten asignadas a una sola tecla Los virus de macros afectan a archivos y plantillas que los contienen hacieacutendose pasar por una macro y no actuaraacuten hasta que el archivo se abra o utilice
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 63
VOLVER
VIRUS RESIDENTES
bull Se colocan automaacuteticamente en la memoria RAM del ordenador De este modo pueden controlar e interceptar todas las operaciones llevadas a cabo por el sistema operativo infectando todos aquellos ficheros yo programas que sean ejecutados abiertos cerrados renombrados copiados etc
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 64
VIRUS DE ENLACE
bull Modifican las direcciones que permiten a nivel interno acceder a cada uno de los archivos existentes y como consecuencia no es posible localizarlos y trabajar con ellos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 65
VOLVER
VIRUS MUTANTES
bull Son virus que mutan es decir x Debido a estas mutaciones cada generacioacuten de virus es diferente a la versioacuten anterior dificultando asiacute su deteccioacuten y eliminacioacuten
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 66
VIRUS DE BOOT
bull Se activan en el momento en el que se arranca el ordenador desde un disco infectado ya sea desde el disco duro o desde una memoria USB
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 67
VOLVER
VIRUS DE PROGRAMA
bull Comuacutenmente infectan archivos con extensiones EXE COM OVL DRV BIN DLL y SYS
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 68
VOLVER
VIRUS DE SOBREESCRITURA
bull Sobre-escriben en el interior de los archivos atacados haciendo que se pierda el contenido de los mismos
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 69
Ataques de Seguridad
bull Spyware Es un software de computadoraque al instalarse intercepta o toma controlparcial de la interaccioacuten de lacomputadora y el usuario esto sin que elmismo se de cuenta Estos programaspueden recolectar diferentes tipos deinformacioacuten de los usuarios asiacute comoinstalar software adicional sin elconsentimiento de los mismos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 70
71
Herramientas de Seguridad
bull Gusano Es un programa de computadora quepuede replicarse a si mismo utiliza la red paraenviar copias de si mismo a otros nodos y lopuede hacer sin la intervencioacuten del usuario
A diferencia de los ldquovirusrdquo los gusanos nonecesitan estar amarrados a un programa y sufuncioacuten es principalmente dantildear la red (ejdesempentildeo) mientras que los virus dantildeanarchivos en computadoras
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
72
Ataques de Seguridad
bull Caballo de Troya Es una programa que seinstala bajo la creencia de que se estainstalando alguna otra cosa Los troyanosson programas muy utilizados parainstalar programas tipo ldquobackdoorsrdquo quepermiten el acceso no autorizado a lacomputadora atacada un ejemplo deprogramas tipo backdoor son losKeyloogers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
73
Ataques de Seguridad
bull DoS Denial of service- Ataques quehacen indisponible un servicio a losusuarios
bull DDoS Son conocidos como DNSBackbone Distributed Denial ofServices ndash Ataques tienen comoblanco los servidores raiacutez DNS por lotanto afectan uno de los pilares delInternet los nombres de los dominios
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
74
Ataques de Seguridad
bull Footprinting Teacutecnica utilizada para reunir informacioacuten acerca de sistemas computacionales y las entidades a las que pertenece algunos ejemplos son
- Domain queries
- Network queries
- Organizational queries
- TCP scans
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
75
Ataques de Seguridad
bull Fingerprinting Tambieacuten es conocidocomo TCPIP stack fingerprinting y esutilizado para determinar que sistemaoperativo utiliza alguacuten blanco en la redExiste dos tipos de fingerprinting
- Pasivo- Activo
NMAP es una herramienta que utilizafingerprinting activo para mapearpuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
76
Ataques de Seguridad
bull Escaneo de puertos El escaneo depuertos se basa en el FingerprintingActivo es decir transmite y recibesentildeales como ICMP TELNET SNMPdesde un blanco determinado en lared esto con el fin de obtenerinformacioacuten de dicho blanco en estecaso informacioacuten acerca de suspuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
77
Ataques de Seguridad
bull Sniffing Para llevar a cabo el sniffing esnecesario contar con un ldquopacket snifferrdquoque puede ser software instalado en unacomputadora o un dispositivoindependiente (appliance) estedispositivo es utilizado para interceptar yregistrar traacutefico que pasa a traveacutes de unared o de un segmento de la misma(Puede ser de una red ethernet owireless)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
78
Ataques de Seguridad
bull Spoofing Los ataques tipo spoofing sonaquellos en los que una persona oprograma logra hacerse pasar por otrafalsificando informacioacuten o utilizando laingenieriacutea algunos ataques tipo spoofingson los siguientes
- Falsificacioacuten de direccioacuten de email
- Falsificacioacuten de ID de llamadas telefoacutenicas
- Falsificacioacuten de sitios de internet (phishing)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
79
Ataques de Seguridad
bull Phishing Es el uso de teacutecnicas deingenieriacutea social con la finalidad deadquirir de manera fraudulentainformacioacuten confidencial comonombres de usuarios contrasentildeasinformacioacuten de tarjetas de creacutedito
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
80
Ataques de Seguridad
bull Ingenieriacutea Social Se refiere a unacoleccioacuten de teacutecnicas utilizadas paramanipular a las personas para querealicen alguna accioacuten o divulgueninformacioacuten confidencial
Algunos ingenieros sociales notablesson
- Kevin Mitnik
- Frank Abagnale
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
Ingenieriacutea Social
Es el conjunto de meacutetodos y praacutecticas usados para obtener informacioacuten de usuarios legiacutetimos y con la informacioacuten obtenida lograr acceso a sistemas protegidos siendo esta praacutectica de uso comuacuten entre piratas informaacuteticos y delincuentes computacionales
Coacutemo me afecta Al no validar las referencias o no seguir el protocolo de seguridad adecuado para divulgar contrasentildeas o cualquier otra informacioacuten sensible podemos ser coacutemplices de un crimen Meacutexico ha acordado con organismos internacionales la homologacioacuten yo adecuacioacuten de coacutedigos penales para que estos delitos sean perseguidos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 81
Ingenieriacutea Social
Coacutemo puedo saber si estoy siendo viacutectima de un ingeniero social Muy simple cuando alguien nos pide alguacuten tipo de informacioacuten privilegiada y esta persona es insistente cuando le requerimos seguir un protocolo para validar su intencioacuten es altamente probable que estemos siendo viacutectimas de un intento de robo de informacioacuten por un ingeniero socialhacker
Coacutemo puedo evitarlo Sencillo si no confiamos en la persona que nos solicita los datos (supongamos un teacutecnico de soporte de nuestro lugar de trabajo) podemos pedirle que nos deje sus datos y comunicarnos con el 10 minutos despueacutes de validar que la peticioacuten es legiacutetima es decir soacutelo sigamos los protocolos que existen en el trabajo y crear los propios en casa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 82
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra los Sistemas que Utilizan Tecnologiacuteas de Informacioacuten
bull Artiacuteculo 6 Acceso indebido
bull Artiacuteculo 7 Sabotaje o dantildeo a sistemas
bull Artiacuteculo 8 Favorecimiento culposo del sabotaje o dantildeo
bull Artiacuteculo 9 Acceso indebido o sabotaje a sistemas protegidos
bull Artiacuteculo 10 Posesioacuten de equipos o prestacioacuten de servicios de sabotaje
bull Artiacuteculo 11 Espionaje informaacutetico
bull Artiacuteculo 12 Falsificacioacuten de documentos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 83
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Propiedad
bull Artiacuteculo 13 Hurto
bull Artiacuteculo 14 Fraude
bull Artiacuteculo 15 Obtencioacuten indebida de bienes o servicios
bull Artiacuteculo 16 Manejo fraudulento de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 17 Apropiacioacuten de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 18 Provisioacuten indebida de bienes o servicios
bull Artiacuteculo 19 Posesioacuten de equipo para falsificaciones
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 84
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Privacidad de las Personas y de las Comunicaciones
bullArtiacuteculo 20 Violacioacuten de la privacidad de la data o informacioacuten de caraacutecter personal
bullArtiacuteculo 21 Violacioacuten de la privacidad de las comunicaciones
bullArtiacuteculo 22 Revelacioacuten indebida de data o informacioacuten de caraacutecter personal
De los Delitos Contra Nintildeos Nintildeas o Adolescentes
bullArtiacuteculo 23 Difusioacuten o exhibicioacuten de material pornograacutefico
bullArtiacuteculo 24 Exhibicioacuten pornograacutefica de nintildeos o adolescentes
De los Delitos Contra el Orden Econoacutemico
bullArtiacuteculo 25 Apropiacioacuten de propiedad intelectual
bullArtiacuteculo 26 Oferta engantildeosa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 85
Plan de Contingencia Continuidad Operacional
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 86
Plan de Contingencia
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 87
ldquoConjunto de Normas y Procedimientos documentadosy comunicados que tienen por objetivo minimizar los riesgos informaacuteticos mas probablesrdquo
InvolucrabullUso de herramientas
bullCumplimiento de Tareas por
parte de personas
Plan de Contingencia
Consta de tres subplanes independientes
bull Plan de Respaldo crear y conservar en un lugar seguro copias de seguridad de la informacioacuten
bull Pla de Emergencia queacute medidas tomar cuando se estaacute materializando una amenaza o cuando acaba de producirse
bull Plan de Recuperacioacuten medidas que se aplicaran cuando se ha producido un desastre El objetivo es evaluar el impacto y regresar lo antes posible
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 88
Plan de Contingencia
En la elaboracioacuten de este plan no se puede dejar por fuera a los miembros de la organizacioacuten el cual debe estar informado y entrenado para actuar en las funciones que le hayan sido encomendadas en caso de producirse una amenaza o impacto
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 89
Continuidad Operacional
Business Continuity Planning (Plan de Continuidad de negocios)
bull Plan Baacutesico
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Coldsite)
bull Plan Intermedio
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan Alto
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan de respuesta y continuidad de negocios alternativo (sin asistencia de sistemas)
bull Stress Testing al Plan
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 90
El Stress Testing
bull Poner a prueba el planbull Revise y evalueacute
bull Respaldosbull Oportunidad integridad y funcionalidadbull Custodia y transporte
bull Cold y Hotsitebull Funcionalidad accesibilidad y compatibilidadbull Actualizacioacuten oportuna (hotsite)
bull Personalbull Roles y funcionesbull Accesibilidad (contactos y comunicaciones)
bull Simulacioacuten de cataacutestrofesbull Sin previo aviso el director encargado del BCP se presenta en el centro de computo
cronometro en mano y baja la cuchilla de electricidad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 91
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de Lehman Brothers
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el WorldTrade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehman se desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del World Trade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehman teniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 92
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de LehmanBrothers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 93
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el World Trade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehmanse desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 94
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del WorldTrade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehmanteniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 95
La Contingencia Manual la Uacuteltima Frontera
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 96
05062015 97
DATOS BAacuteSICOS
Responsable A Nivel Corporativo Responsable(s) A Nivel Regional
PROVEEDOR (ES)
Origen Responsable Insumo (s)
RESULTADOS
Normas y Procedimientos Asociados Fecha uacuteltima revisioacuten Sistemas Aplicaciones Asociadas
Proceso
CALIFICACIOacuteN DE CONTROLES DE ENTRADA
Actividad
RECOMENDACIONES
Procesamiento
Automaacutetico (A)Manual (M)
Frecuencia
Adiestramiento Proceso Sistema N y P Otros
Negocio Area Localidad
Responsable
Nombre CargoNombre Cargo
NOMBRE
ELABORADO POR
CARGO FIRMA
Calidad de Data (B) Buena (R) Regular (M) Mala Oportunidad (AT) A Tiempo (R) Retrasada Revisioacuten Aprobacioacuten (S) Si (N) NoLEYENDA
Calificacioacuten (F) Fuerte (M) Medio (B) Bajo
DescripcioacutenResponsableDescripcioacuten
Tarea
Descripcioacuten
FRECUENCIA DE LA TAREA Diaria (D) Semanal (S) Mensual (M) Trimestral (T) Anual (A) Ocasional (O)
Soportes Recepcioacuten (P) Papel (E) Electroacutenico Archivo (S) Si (N) No Soportes Enviacuteo (S) Si (N) No Backup (S) Si (N) No
Producto (s) Cliente ReceptorControl
de salida
SoportesFrecuencia
Recepcioacuten Backup
DOCUMENTOS SISTEMAS ASOCIADOS A LOS CONTROLES
CALIFICACIOacuteN DE CONTROLES (por parte del Cliente Receptor)
Revisioacuten
Aprobacioacuten
Revisioacuten
AprobacioacutenTipo de control
Procesamiento
Automaacutetico (A)Manual (M)
Control
De EntradaTipo de control
Soportes
Recepcioacuten Archivo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 98
DATOS BAacuteSICOS
TareaActividad
Proceso Responsable del Proceso
Fecha de Elaboracioacuten 2015
Accioacuten (es) Responsable (s)
OBSERVACIONES ELABORADO POR
FIRMA
NOMBRE
Plan de recuperacioacuten y Reactivacioacuten de Finanzas
Recomendaciones Acciones
La Cadena de Valor de una Organizacioacuten de Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 99
ASESORAR EN CONTROLES DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR DELEGACIONES FINANCIERAS
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
CONTROLAR SEGURIDAD SISTEMA
OPERACIONALES ADMINISTRATIVOS Y OTROS
SISTEMAS FINANCIEROS
DESARROLLAR CONTROLES
DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR Y DESARROLLAR PLAN INTEGRAL DE CONTROL ( PIC )
Asesorar en controles de procesos normas y
Procedimientos
Administrar delegaciones financieras
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
Controlar seguridad sistema
operacionales administrativos y otros
sistemas financieros
Desarrollar
controles de
procesos
normas y
procedimientos
Administrar y desarrollar plan integral de control ( PIC )
iquestQueacute es una poliacutetica de seguridad
Una directriz que contendraacute los objetivos de la empresa en materia de seguridad del sistema de informacioacuten
Estos objetivos se engloban en cuatro grupos
bull Identificar
bull Relacionar
bull Proporcionar
bull Detectar
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 14
Alcance de la Poliacutetica de Seguridad
bullNecesidades de seguridad
bullRiesgos que amenazan el sistema
bull Impactos ante un ataque ndashevaluarlos-Identificar
bullMedidas de seguridad para afrontar riesgos de activos o grupos de activosRelacionar
bullPerspectiva general de las reglas y procedimientos para afrontar riesgos identificados en los diferentes departamentosProporcionar
bullVulnerabilidades del sistema de informacioacuten
bullControlar los fallos producidosDetectar
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 15
Anaacutelisis de Riesgo
Estrategias de Recuperacioacuten
Desarrollo de las Estrategias
Desarrollo de los Procedimientos
Pruebas y Entrenamiento
Plan de Mantenimiento
Consecuencia de la Poliacutetica de Seguridad
bull La definicioacuten del plan de contingencias es uno de los resultados y parte de la poliacutetica de seguridad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 16
Esta norma define una poliacutetica de autorizacioacuten geneacuterica la cual puede formularse de la siguiente forma
ldquoLa informacioacuten no puede darse ni puede permitirse el acceso a ella ni se puede permitir que sea inferida ni se puede utilizar ninguacuten recurso por parte de personas o entidades que no estaacuten autorizadas de forma apropiadardquo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 17
bull Determinacioacuten del acceso y uso de los recursos en base a las identidades de los usuarios y recursos
Poliacuteticas Basadas en Identidad
bull El acceso a los recursos se controla a traveacutes de reglas globales impuestas a todos los usuarios por ejemplo utilizando etiquetas de seguridad
Poliacuteticas Basadas en Reglas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 18
bull Autenticacioacuten tanto de entidades como de origen
bull Control de acceso
bull Confidencialidad de los datos
bull Integridad de los datos
bull No repudio
Define cinco categoriacuteas principales de servicios
de seguridad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 19
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 20
Propietariosvaloran
Quieren minimizar
Salvaguardasdefinen
Pueden tener conciencia de
Amenazasexplotan
VulnerabilidadesPermiten o facilitan
Dantildeo
RECURSOSQue pueden tener
Reducen
RIESGO
Fecha __ __ __
Componente Supervisioacuten
Formulario nuacutemero 6 - Mapeo de Riesgos resultado de la evaluacioacuten de Efectividad Eficiencia y Cumplimiento de los Controles
Fecha ________
Entidad evaluada _____________ Proceso _____________________________________Sub Proceso_______________________________________Etapa sub proceso________________________
Elaborado por____________________________________Aprobado Por_________________________________ Pag __ de __
8 500
3 300
0
3
6
9
12
0 3 6 9 12
PR
OB
AB
ILID
AD
IMPACTO
MAPA DE RIESGOS
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 21
Responsabilidad de la Gerencia
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 22
Seguridad Informaacutetica ISOIEC 27001
ldquoLa seguridad informaacutetica consiste en la implantacioacuten de un conjunto de medidas teacutecnicas destinadas a preservar la confidencialidad la integridad y la disponibilidad de la informacioacuten pudiendo ademaacutes abarcar otras propiedades como la autenticidad la responsabilidad la fiabilidad y el no repudiordquo
Es la definicioacuten ofrecida por el estaacutendar para la seguridad de la informacioacuten ISOIEC 27001 aprobado y publicado en octubre de 2005 por la International Organization for Standardization (ISO) y por la comisioacuten International Electrotechnical Commission (IEC)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 23
Estructura Organizacional
Poliacutetica de Seguridad
Organizacioacuten de la Seguridad de la Informacioacuten
Gestioacuten de Activos Control de Acceso
Cumplimiento Conformidad Informacioacuten de gestioacuten de incidentes de seguridad
Seguridad de los recursos humanos
Gestioacuten de continuidad del negocio
Sistemas de Informacioacuten de adquisicioacuten desarrollo y mantenimiento
Comunicacioacuten y gestioacuten de operaciones
Seguridad fiacutesica y ambiental
Los 11 dominios de la ISOIEC 27001bull Poliacutetica de Seguridadbull Organizacioacuten de la seguridad de la
informacioacutenbull Gestioacuten de Activosbull Seguridad de los recursos humanosbull Seguridad fiacutesica y ambientalbull Comunicacioacuten y gestioacuten de
operacionesbull Control de accesobull Sistemas de informacioacuten de
adquisicioacuten desarrollo y mantenimiento
bull Informacioacuten de gestioacuten de incidentes de seguridad
bull Gestioacuten de continuidad del negociobull Cumplimiento Conformidad
Gerencia
Operaciones
Leyenda
Aspectos Gerenciales
Aspectos Teacutecnicos
Aspectos Fiacutesicos
Riesgos Amenazas
VulnerabilidadesGestioacuten de Riesgos en TI
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 25
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 26
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 27
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
DE ATAQUES INTERNOS PARA DANtildeAR DATOS O SISTEMAS FRAUDES ERRORES EN EL MANEJO DE
SISTEMAS
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 28
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 29
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 30
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 31
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Seguridad Informaacutetica a Nivel de Usuarios
bull Los usuarios se acostumbran a usar la tecnologiacutea sin saber como funciona o de los riesgos que pueden correr
bull Son el punto de entrada de muchos de los problemas croacutenicos
bull Son ldquoEl eslaboacuten maacutes deacutebilrdquo en la cadena de seguridad
Usuarios comunes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 32
Seguridad Informaacutetica a Nivel de Usuarios
bull Principio del MENOR PRIVILEGIO POSIBLE
bull EDUCAR AL USUARIO
Dos enfoques para
controlarlos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 33
Seguridad Informaacutetica a Nivel de Usuarios
Principio del MENOR PRIVILEGIO POSIBLE Implica seguridad de
acceso al sistema (usuario password perfiles de usuario de
manera transaccional ndash seguridad por posicioacuten workflow)
bull Reducir la capacidad de accioacuten del usuario sobre los sistemas
bull Objetivo Lograr el menor dantildeo posible en caso de incidentes
Administracioacuten de privilegios
bull Usuarios uacutenicos e intransferibles
bull Procesos de desactivacioacuten de cuentas y activacioacuten del reemplazo (en periacuteodos vacacionales y de reposos)
bull Administracioacuten de claves de acceso
bull Alfanumeacutericas + caracteres especiales + mayuacutesculas minuacutesculas
bull Caducidad
bull Bloqueo por intentos fallidos
bull Prohibicioacuten de palabras y datos de uso comuacuten o asociadas al usuario
bull Reseteo de clave de forma automaacutetica con preguntas de desafiacuteo (pe usando datos encriptados que solo el usuario conoce como fecha de ingreso a la empresa)
bull Perfil de usuario
bull De acuerdo a la actividad y delegacioacuten de autoridad de acuerdo a su posicioacuten y responsabilidades
bull Esquemas de proteccioacuten de datos e informacioacuten (Privado Confidencial y Estrictamente Privado y Confidencial) seguacuten la posicioacuten y actividades (previendo delincuencia comuacuten o DDOO)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 34
Seguridad Informaacutetica a Nivel de Usuarios
EDUCAR AL USUARIO
bull Documentar y publicar todas las normas y procedimientos asociados
bull Generar una cultura de seguridad El usuario ayuda a reforzar y aplicar los mecanismos de seguridad
bull Objetivo Reducir el nuacutemero de incidentes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 35
Adicionales a los que ya
se mostroacute para
usuarios comunes se
debe
bull Seguridad de acceso a las instalaciones (aacuterea de desarrollo y aacuterea de servidores o main frame)
bull Poliacutetica de respaldo de informacioacuten y programas que incluyan backups in situ outside a modo copia espejo e incremental (solo variaciones)
bull Poliacuteticas de sustraccioacuten de datos incluyendo el uso de CDROM y Pendrivers (Wikiliks)
bull Crear ambientes de desarrollo de software aislados de los ambientes de produccioacuten (operaciones de la empresa) y de prueba Crear ambientes de prueba con participacioacuten funcional
bull Crear protocolos de procesos de cambio (implantacioacuten de sistemas actualizacioacuten de software incluidos los sistemas operativos) que incluyan respaldo total de programas y datos a modo espejo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 36
Seguridad Informaacutetica a Nivel de Usuarios
Vulnerabilidad
bull En un sistema informaacutetico lo que queremos proteger son sus activos es decir los recursos que forman parte del sistema y que podemos agrupar enbull - Hardware - Software
bull - Datos - Otros
bull Los mas criacuteticos son los datos el hardware y el software Es decir los datos que estaacuten almacenados en el hardware y que son procesados por las aplicaciones software
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 37
Vulnerabilidad
bull Es la debilidad de cualquier tipo que compromete la seguridad del sistema informaacutetico
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 38
Disentildeobull Debilidad en el disentildeo de protocolos utilizados en las redes
bull Poliacuteticas de seguridad deficientes e inexistentes
Implementacioacuten
bull Errores de programacioacuten
bull Existencia de ldquopuertas traserasrdquo en los sistemas informaacuteticos
bull Descuido de los fabricantes
Uso
bull Mala configuracioacuten de los sistemas informaacuteticos
bull Desconocimiento y falta de sensibilizacioacuten de los usuarios y de los responsables de informaacutetica
bull Disponibilidad de herramientas que facilitan los ataques
bull Limitacioacuten gubernamental de tecnologiacuteas de seguridad
Vulnerabilidades conocidas
bull Firewall
bull Antivirus
bull Malware
bull Antispy
bull Protocolos de encriptacioacuten
bull Firmas digitales
bull Monitoreo de redes (Comunity Manager)
Consisten en ataques
intercepciones de datos y enviacuteo de
informacioacuten usurpando identidad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 39
Vulnerabilidades
bull Ataques contra el flujo de la informacioacuten FLUJO NORMAL
Los mensajes en una red se enviacutean a partir de un emisor a uno o varios receptores
El atacante es un tercer elemento en la realidad existen millones de elementos atacantesintencionales o accidentales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 40
Emisor Receptor
Atacante
bull INTERRUPCIONbull El mensaje no puede llegar a su destino un recurso del sistema es destruido o
temporalmente inutilizado
bull Este es un ataque contra la Disponibilidad
bull Ejemplos Destruccioacuten de una pieza de hardware cortar los medios de comunicacioacuten o deshabilitar los sistemas de administracioacuten de archivos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 41
Vulnerabilidades
Emisor
Atacante
Receptor
Vulnerabilidades
bull INTERCEPCIONbull Una persona computadora o programa sin autorizacioacuten logra el acceso a un
recurso controlado
bull Es un ataque contra la Confidencialidad
bull Ejemplos Escuchas electroacutenicos copias iliacutecitas de programas o datos escalamiento de privilegios
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 42
Emisor
Atacante
Receptor
Vulnerabilidades
bull MODIFICACIONbull La persona sin autorizacioacuten ademaacutes de lograr el acceso modifica el mensaje
bull Este es un ataque contra la Integridad
bull Ejemplos Alterar la informacioacuten que se transmite desde una base de datos modificar los mensajes entre programas para que se comporten diferente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 43
bull FABRICACIONbull Una persona sin autorizacioacuten inserta objetos falsos en el sistemabull Es un ataque contra la Autenticidadbull Ejemplos Suplantacioacuten de identidades robo de sesiones robo de contrasentildeas
robo de direcciones IP etcbull Es muy difiacutecil estar seguro de quieacuten esta al otro lado de la liacutenea
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 44
Vulnerabilidades
Emisor
Atacante
Receptor
iquestQuienes Atacan los Sistemas
Gobiernos Extranjeros
Espiacuteas industriales o poliacuteticos
Criminales
Empleados descontentos y abusos internos
Adolescentes sin nada que hacer
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 45
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 46
Estado del ataque Ejemplo de Acciones
1-Buacutesqueda de Ingreso Correr un scanner de puertos
2-Penetracioacuten Explorar un sistema sin parches de seguridad
3-Elevacioacuten de Privilegios Lograr cuenta de Administrador
5-Enmascaramiento Borrado de rastros del ingreso y ataque
4-Ataque en si mismo Robo de datos destruccioacuten del sitio web etc
INTRUSO
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 47
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 48
Actuacioacuten del Criminal
bull Se requieren talentos especiales
bull El fraude ha crecido gracias a la aparicioacuten de las computadoras
Mitos
bull Dinero
bull Satisfaccioacuten (egocentrismo)
bull Ideologiacutea
bull Psicosis
Motivaciones personales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 49
bull Ambiente de trabajo
bull Prestaciones
bull Nivel de confianza interpersonal
bull Eacutetica ambiental
bull Nivel de stress
bull AMBIENTE DE CONTROL INTERNO
Motivaciones ambientales
Ethical Hacking
Es una intrusioacuten eacutetica es la aplicacioacuten de herramientas de intrusioacuten penetracioacuten robo personificacioacuten y negacioacuten de servicio llevado a cabo por hackers eacuteticos es decir personas con la experiencia y conocimiento suficiente para llevar a cabo estas pruebas en nombre de la organizacioacuten es decir de manera legal y prevista para determinar el nivel de seguridad de una red de equipos o servicios (incluido el aspecto de ingenieriacutea social)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 50
Ethical Hacking
bull al conocer el nivel de seguridad que se tiene en nuestra organizacioacuten es mucho maacutes sencillo no simple el tomar medidas que puedan subsanar estas deficienciasiquestPor queacute es
Importante
bull No al usar las armas que el enemigo usa es maacutes factible que podamos determinar el nivel de riesgo y por tanto la respuesta que debemos dar ante un ataque vieacutendolo como analogiacutea meacutedica es como cuando nos vacunan pues nos inoculan una versioacuten del virus del cual nos quieren hacer inmunes
iquestNo es contraproducente
bull Al contratar un servicio o realizarlo de manera interna estamos confiando en la eacutetica profesional de quien evaluacutea por lo que siacute siempre llevamos un riesgo pero se establece un contrato de buena fe hacieacutendolo suficientemente fiable (asegurando)iquestEs fiable
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 51
Ejemplos de Criacutemenes Electroacutenicos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 52
Ataque en 1986 de alemanes trabajando para la KGB contra sistemas estrateacutegicos de EEUU (Clifford Stoll Cuckooacutes egg)
El gusano Morris que se propagoacute por internet en 1988
causando un problema de DoS La causa fue la interrupcioacuten
causada por un programa escrito por Robert Tappan Morris
414 Gang enviacutea ataques contra los registros meacutedicos del
hospital para enfermos de caacutencer Sloan-Kettering
Ataques de Kevin Mitnick 1989-1996
Penetracioacuten de la red de Microsoft en octubre de 2000
por un cracker que ganoacute acceso a programas en desarrollo
Esparcimiento del Love Letter difundido por Onel Guzmaacuten en
Filipinas
53
DDoS contra Yahoo Amazon y Zdnet
Muacuteltiples problemas por virus desde
entonces
Target (Robo de informacioacuten de clientes
Identidad y datos financieros)
Juegos del Hambre
Ataque a Sony (Cyberterrorismo) y la
Respuesta con el apagoacuten de internet a
Korea del Norte
Carnabank (Europa oriental europa
occidental EEUU Panamaacute)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
Ejemplos de Criacutemenes Electroacutenicos
Algunas Clases de Ataques
Negacioacuten de Servicio (DoS)
Robo de contrasentildeas
Robo de identidad
Ingenieriacutea social
Defacement
FraudePirateriacutea de
softwareDumpster
divingCoacutedigo
MaliciosoIP spoofing
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 54
Algunas Clases de Ataques
EspionajeDestruccioacuten o alteracioacuten de informacioacuten
Uso de scripts de ataque
desarrolladosPhishing
Ciber -Terrorismo
War DialingWar
DrivingWalkingWar Chalking
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 55
El Caso Carbanak 1MMMUS$
La banda delictiva ciberneacutetica CARBANAK roba mil millones de doacutelares de 100 instituciones financieras en todo el mundo Kaspersky Lab la INTERPOL EUROPOL y autoridades de diferentes paiacuteses han unido sus fuerzas para dejar al descubierto el complot delictivo de un robo ciberneacutetico sin precedentes Hasta mil millones de doacutelares americanos fueron robados en cerca de dos antildeos de instituciones financieras en todo el mundo Los expertos informan que la responsabilidad del robo recae en una banda multinacional de ciberdelincuentesde Rusia Ucrania y otras partes de Europa asiacute como de China
La banda CARBANAK responsable del robo ciberneacutetico utilizoacute teacutecnicas extraiacutedas del arsenal de los ataques selectivos El complot marca el inicio de una nueva etapa en la evolucioacuten de la actividad de delincuencia ciberneacutetica donde usuarios maliciosos roban dinero directamente de los bancos y evitan concentrar sus ataques en los usuarios finales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 56
Comunicado de prensa 160215 - Karpersky
5705062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
MALWARE
El malware es un tipo de software que tiene como objetivo infiltrarse o dantildear un ordenador sistema de informacioacuten sin el consentimiento de su propietario
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 58
POPUP
bull Un pop-up es un tipo de ventana web que aparece delante de la ventana de un navegador al visitar una paacutegina web
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 59
VOLVER
ADWARE
bull Un programa de clase adware es cualquier programa que automaacuteticamente muestra publicidad web al usuario durante su instalacioacuten o durante su uso para generar lucro a sus autores
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 60
SPAM
bull Se llama spam correo basura a los mensajes no solicitados no deseados o de remitente no conocido habitualmente de tipo publicitario generalmente enviados
en grandes cantidades que perjudican al receptor
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 61
Bomba Loacutegica
Son programas informaacuteticos que se instala en un ordenador y permanece oculto hasta cumplirse una o maacutes condiciones preprogramadas para en ese momento ejecutar una accioacuten
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 62
volver
VIRUS DE MACROS
bull Es una secuencia de oacuterdenes de teclado y ratoacuten asignadas a una sola tecla Los virus de macros afectan a archivos y plantillas que los contienen hacieacutendose pasar por una macro y no actuaraacuten hasta que el archivo se abra o utilice
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 63
VOLVER
VIRUS RESIDENTES
bull Se colocan automaacuteticamente en la memoria RAM del ordenador De este modo pueden controlar e interceptar todas las operaciones llevadas a cabo por el sistema operativo infectando todos aquellos ficheros yo programas que sean ejecutados abiertos cerrados renombrados copiados etc
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 64
VIRUS DE ENLACE
bull Modifican las direcciones que permiten a nivel interno acceder a cada uno de los archivos existentes y como consecuencia no es posible localizarlos y trabajar con ellos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 65
VOLVER
VIRUS MUTANTES
bull Son virus que mutan es decir x Debido a estas mutaciones cada generacioacuten de virus es diferente a la versioacuten anterior dificultando asiacute su deteccioacuten y eliminacioacuten
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 66
VIRUS DE BOOT
bull Se activan en el momento en el que se arranca el ordenador desde un disco infectado ya sea desde el disco duro o desde una memoria USB
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 67
VOLVER
VIRUS DE PROGRAMA
bull Comuacutenmente infectan archivos con extensiones EXE COM OVL DRV BIN DLL y SYS
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 68
VOLVER
VIRUS DE SOBREESCRITURA
bull Sobre-escriben en el interior de los archivos atacados haciendo que se pierda el contenido de los mismos
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 69
Ataques de Seguridad
bull Spyware Es un software de computadoraque al instalarse intercepta o toma controlparcial de la interaccioacuten de lacomputadora y el usuario esto sin que elmismo se de cuenta Estos programaspueden recolectar diferentes tipos deinformacioacuten de los usuarios asiacute comoinstalar software adicional sin elconsentimiento de los mismos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 70
71
Herramientas de Seguridad
bull Gusano Es un programa de computadora quepuede replicarse a si mismo utiliza la red paraenviar copias de si mismo a otros nodos y lopuede hacer sin la intervencioacuten del usuario
A diferencia de los ldquovirusrdquo los gusanos nonecesitan estar amarrados a un programa y sufuncioacuten es principalmente dantildear la red (ejdesempentildeo) mientras que los virus dantildeanarchivos en computadoras
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
72
Ataques de Seguridad
bull Caballo de Troya Es una programa que seinstala bajo la creencia de que se estainstalando alguna otra cosa Los troyanosson programas muy utilizados parainstalar programas tipo ldquobackdoorsrdquo quepermiten el acceso no autorizado a lacomputadora atacada un ejemplo deprogramas tipo backdoor son losKeyloogers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
73
Ataques de Seguridad
bull DoS Denial of service- Ataques quehacen indisponible un servicio a losusuarios
bull DDoS Son conocidos como DNSBackbone Distributed Denial ofServices ndash Ataques tienen comoblanco los servidores raiacutez DNS por lotanto afectan uno de los pilares delInternet los nombres de los dominios
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
74
Ataques de Seguridad
bull Footprinting Teacutecnica utilizada para reunir informacioacuten acerca de sistemas computacionales y las entidades a las que pertenece algunos ejemplos son
- Domain queries
- Network queries
- Organizational queries
- TCP scans
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
75
Ataques de Seguridad
bull Fingerprinting Tambieacuten es conocidocomo TCPIP stack fingerprinting y esutilizado para determinar que sistemaoperativo utiliza alguacuten blanco en la redExiste dos tipos de fingerprinting
- Pasivo- Activo
NMAP es una herramienta que utilizafingerprinting activo para mapearpuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
76
Ataques de Seguridad
bull Escaneo de puertos El escaneo depuertos se basa en el FingerprintingActivo es decir transmite y recibesentildeales como ICMP TELNET SNMPdesde un blanco determinado en lared esto con el fin de obtenerinformacioacuten de dicho blanco en estecaso informacioacuten acerca de suspuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
77
Ataques de Seguridad
bull Sniffing Para llevar a cabo el sniffing esnecesario contar con un ldquopacket snifferrdquoque puede ser software instalado en unacomputadora o un dispositivoindependiente (appliance) estedispositivo es utilizado para interceptar yregistrar traacutefico que pasa a traveacutes de unared o de un segmento de la misma(Puede ser de una red ethernet owireless)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
78
Ataques de Seguridad
bull Spoofing Los ataques tipo spoofing sonaquellos en los que una persona oprograma logra hacerse pasar por otrafalsificando informacioacuten o utilizando laingenieriacutea algunos ataques tipo spoofingson los siguientes
- Falsificacioacuten de direccioacuten de email
- Falsificacioacuten de ID de llamadas telefoacutenicas
- Falsificacioacuten de sitios de internet (phishing)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
79
Ataques de Seguridad
bull Phishing Es el uso de teacutecnicas deingenieriacutea social con la finalidad deadquirir de manera fraudulentainformacioacuten confidencial comonombres de usuarios contrasentildeasinformacioacuten de tarjetas de creacutedito
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
80
Ataques de Seguridad
bull Ingenieriacutea Social Se refiere a unacoleccioacuten de teacutecnicas utilizadas paramanipular a las personas para querealicen alguna accioacuten o divulgueninformacioacuten confidencial
Algunos ingenieros sociales notablesson
- Kevin Mitnik
- Frank Abagnale
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
Ingenieriacutea Social
Es el conjunto de meacutetodos y praacutecticas usados para obtener informacioacuten de usuarios legiacutetimos y con la informacioacuten obtenida lograr acceso a sistemas protegidos siendo esta praacutectica de uso comuacuten entre piratas informaacuteticos y delincuentes computacionales
Coacutemo me afecta Al no validar las referencias o no seguir el protocolo de seguridad adecuado para divulgar contrasentildeas o cualquier otra informacioacuten sensible podemos ser coacutemplices de un crimen Meacutexico ha acordado con organismos internacionales la homologacioacuten yo adecuacioacuten de coacutedigos penales para que estos delitos sean perseguidos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 81
Ingenieriacutea Social
Coacutemo puedo saber si estoy siendo viacutectima de un ingeniero social Muy simple cuando alguien nos pide alguacuten tipo de informacioacuten privilegiada y esta persona es insistente cuando le requerimos seguir un protocolo para validar su intencioacuten es altamente probable que estemos siendo viacutectimas de un intento de robo de informacioacuten por un ingeniero socialhacker
Coacutemo puedo evitarlo Sencillo si no confiamos en la persona que nos solicita los datos (supongamos un teacutecnico de soporte de nuestro lugar de trabajo) podemos pedirle que nos deje sus datos y comunicarnos con el 10 minutos despueacutes de validar que la peticioacuten es legiacutetima es decir soacutelo sigamos los protocolos que existen en el trabajo y crear los propios en casa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 82
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra los Sistemas que Utilizan Tecnologiacuteas de Informacioacuten
bull Artiacuteculo 6 Acceso indebido
bull Artiacuteculo 7 Sabotaje o dantildeo a sistemas
bull Artiacuteculo 8 Favorecimiento culposo del sabotaje o dantildeo
bull Artiacuteculo 9 Acceso indebido o sabotaje a sistemas protegidos
bull Artiacuteculo 10 Posesioacuten de equipos o prestacioacuten de servicios de sabotaje
bull Artiacuteculo 11 Espionaje informaacutetico
bull Artiacuteculo 12 Falsificacioacuten de documentos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 83
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Propiedad
bull Artiacuteculo 13 Hurto
bull Artiacuteculo 14 Fraude
bull Artiacuteculo 15 Obtencioacuten indebida de bienes o servicios
bull Artiacuteculo 16 Manejo fraudulento de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 17 Apropiacioacuten de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 18 Provisioacuten indebida de bienes o servicios
bull Artiacuteculo 19 Posesioacuten de equipo para falsificaciones
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 84
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Privacidad de las Personas y de las Comunicaciones
bullArtiacuteculo 20 Violacioacuten de la privacidad de la data o informacioacuten de caraacutecter personal
bullArtiacuteculo 21 Violacioacuten de la privacidad de las comunicaciones
bullArtiacuteculo 22 Revelacioacuten indebida de data o informacioacuten de caraacutecter personal
De los Delitos Contra Nintildeos Nintildeas o Adolescentes
bullArtiacuteculo 23 Difusioacuten o exhibicioacuten de material pornograacutefico
bullArtiacuteculo 24 Exhibicioacuten pornograacutefica de nintildeos o adolescentes
De los Delitos Contra el Orden Econoacutemico
bullArtiacuteculo 25 Apropiacioacuten de propiedad intelectual
bullArtiacuteculo 26 Oferta engantildeosa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 85
Plan de Contingencia Continuidad Operacional
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 86
Plan de Contingencia
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 87
ldquoConjunto de Normas y Procedimientos documentadosy comunicados que tienen por objetivo minimizar los riesgos informaacuteticos mas probablesrdquo
InvolucrabullUso de herramientas
bullCumplimiento de Tareas por
parte de personas
Plan de Contingencia
Consta de tres subplanes independientes
bull Plan de Respaldo crear y conservar en un lugar seguro copias de seguridad de la informacioacuten
bull Pla de Emergencia queacute medidas tomar cuando se estaacute materializando una amenaza o cuando acaba de producirse
bull Plan de Recuperacioacuten medidas que se aplicaran cuando se ha producido un desastre El objetivo es evaluar el impacto y regresar lo antes posible
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 88
Plan de Contingencia
En la elaboracioacuten de este plan no se puede dejar por fuera a los miembros de la organizacioacuten el cual debe estar informado y entrenado para actuar en las funciones que le hayan sido encomendadas en caso de producirse una amenaza o impacto
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 89
Continuidad Operacional
Business Continuity Planning (Plan de Continuidad de negocios)
bull Plan Baacutesico
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Coldsite)
bull Plan Intermedio
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan Alto
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan de respuesta y continuidad de negocios alternativo (sin asistencia de sistemas)
bull Stress Testing al Plan
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 90
El Stress Testing
bull Poner a prueba el planbull Revise y evalueacute
bull Respaldosbull Oportunidad integridad y funcionalidadbull Custodia y transporte
bull Cold y Hotsitebull Funcionalidad accesibilidad y compatibilidadbull Actualizacioacuten oportuna (hotsite)
bull Personalbull Roles y funcionesbull Accesibilidad (contactos y comunicaciones)
bull Simulacioacuten de cataacutestrofesbull Sin previo aviso el director encargado del BCP se presenta en el centro de computo
cronometro en mano y baja la cuchilla de electricidad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 91
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de Lehman Brothers
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el WorldTrade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehman se desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del World Trade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehman teniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 92
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de LehmanBrothers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 93
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el World Trade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehmanse desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 94
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del WorldTrade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehmanteniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 95
La Contingencia Manual la Uacuteltima Frontera
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 96
05062015 97
DATOS BAacuteSICOS
Responsable A Nivel Corporativo Responsable(s) A Nivel Regional
PROVEEDOR (ES)
Origen Responsable Insumo (s)
RESULTADOS
Normas y Procedimientos Asociados Fecha uacuteltima revisioacuten Sistemas Aplicaciones Asociadas
Proceso
CALIFICACIOacuteN DE CONTROLES DE ENTRADA
Actividad
RECOMENDACIONES
Procesamiento
Automaacutetico (A)Manual (M)
Frecuencia
Adiestramiento Proceso Sistema N y P Otros
Negocio Area Localidad
Responsable
Nombre CargoNombre Cargo
NOMBRE
ELABORADO POR
CARGO FIRMA
Calidad de Data (B) Buena (R) Regular (M) Mala Oportunidad (AT) A Tiempo (R) Retrasada Revisioacuten Aprobacioacuten (S) Si (N) NoLEYENDA
Calificacioacuten (F) Fuerte (M) Medio (B) Bajo
DescripcioacutenResponsableDescripcioacuten
Tarea
Descripcioacuten
FRECUENCIA DE LA TAREA Diaria (D) Semanal (S) Mensual (M) Trimestral (T) Anual (A) Ocasional (O)
Soportes Recepcioacuten (P) Papel (E) Electroacutenico Archivo (S) Si (N) No Soportes Enviacuteo (S) Si (N) No Backup (S) Si (N) No
Producto (s) Cliente ReceptorControl
de salida
SoportesFrecuencia
Recepcioacuten Backup
DOCUMENTOS SISTEMAS ASOCIADOS A LOS CONTROLES
CALIFICACIOacuteN DE CONTROLES (por parte del Cliente Receptor)
Revisioacuten
Aprobacioacuten
Revisioacuten
AprobacioacutenTipo de control
Procesamiento
Automaacutetico (A)Manual (M)
Control
De EntradaTipo de control
Soportes
Recepcioacuten Archivo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 98
DATOS BAacuteSICOS
TareaActividad
Proceso Responsable del Proceso
Fecha de Elaboracioacuten 2015
Accioacuten (es) Responsable (s)
OBSERVACIONES ELABORADO POR
FIRMA
NOMBRE
Plan de recuperacioacuten y Reactivacioacuten de Finanzas
Recomendaciones Acciones
La Cadena de Valor de una Organizacioacuten de Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 99
ASESORAR EN CONTROLES DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR DELEGACIONES FINANCIERAS
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
CONTROLAR SEGURIDAD SISTEMA
OPERACIONALES ADMINISTRATIVOS Y OTROS
SISTEMAS FINANCIEROS
DESARROLLAR CONTROLES
DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR Y DESARROLLAR PLAN INTEGRAL DE CONTROL ( PIC )
Asesorar en controles de procesos normas y
Procedimientos
Administrar delegaciones financieras
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
Controlar seguridad sistema
operacionales administrativos y otros
sistemas financieros
Desarrollar
controles de
procesos
normas y
procedimientos
Administrar y desarrollar plan integral de control ( PIC )
Alcance de la Poliacutetica de Seguridad
bullNecesidades de seguridad
bullRiesgos que amenazan el sistema
bull Impactos ante un ataque ndashevaluarlos-Identificar
bullMedidas de seguridad para afrontar riesgos de activos o grupos de activosRelacionar
bullPerspectiva general de las reglas y procedimientos para afrontar riesgos identificados en los diferentes departamentosProporcionar
bullVulnerabilidades del sistema de informacioacuten
bullControlar los fallos producidosDetectar
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 15
Anaacutelisis de Riesgo
Estrategias de Recuperacioacuten
Desarrollo de las Estrategias
Desarrollo de los Procedimientos
Pruebas y Entrenamiento
Plan de Mantenimiento
Consecuencia de la Poliacutetica de Seguridad
bull La definicioacuten del plan de contingencias es uno de los resultados y parte de la poliacutetica de seguridad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 16
Esta norma define una poliacutetica de autorizacioacuten geneacuterica la cual puede formularse de la siguiente forma
ldquoLa informacioacuten no puede darse ni puede permitirse el acceso a ella ni se puede permitir que sea inferida ni se puede utilizar ninguacuten recurso por parte de personas o entidades que no estaacuten autorizadas de forma apropiadardquo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 17
bull Determinacioacuten del acceso y uso de los recursos en base a las identidades de los usuarios y recursos
Poliacuteticas Basadas en Identidad
bull El acceso a los recursos se controla a traveacutes de reglas globales impuestas a todos los usuarios por ejemplo utilizando etiquetas de seguridad
Poliacuteticas Basadas en Reglas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 18
bull Autenticacioacuten tanto de entidades como de origen
bull Control de acceso
bull Confidencialidad de los datos
bull Integridad de los datos
bull No repudio
Define cinco categoriacuteas principales de servicios
de seguridad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 19
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 20
Propietariosvaloran
Quieren minimizar
Salvaguardasdefinen
Pueden tener conciencia de
Amenazasexplotan
VulnerabilidadesPermiten o facilitan
Dantildeo
RECURSOSQue pueden tener
Reducen
RIESGO
Fecha __ __ __
Componente Supervisioacuten
Formulario nuacutemero 6 - Mapeo de Riesgos resultado de la evaluacioacuten de Efectividad Eficiencia y Cumplimiento de los Controles
Fecha ________
Entidad evaluada _____________ Proceso _____________________________________Sub Proceso_______________________________________Etapa sub proceso________________________
Elaborado por____________________________________Aprobado Por_________________________________ Pag __ de __
8 500
3 300
0
3
6
9
12
0 3 6 9 12
PR
OB
AB
ILID
AD
IMPACTO
MAPA DE RIESGOS
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 21
Responsabilidad de la Gerencia
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 22
Seguridad Informaacutetica ISOIEC 27001
ldquoLa seguridad informaacutetica consiste en la implantacioacuten de un conjunto de medidas teacutecnicas destinadas a preservar la confidencialidad la integridad y la disponibilidad de la informacioacuten pudiendo ademaacutes abarcar otras propiedades como la autenticidad la responsabilidad la fiabilidad y el no repudiordquo
Es la definicioacuten ofrecida por el estaacutendar para la seguridad de la informacioacuten ISOIEC 27001 aprobado y publicado en octubre de 2005 por la International Organization for Standardization (ISO) y por la comisioacuten International Electrotechnical Commission (IEC)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 23
Estructura Organizacional
Poliacutetica de Seguridad
Organizacioacuten de la Seguridad de la Informacioacuten
Gestioacuten de Activos Control de Acceso
Cumplimiento Conformidad Informacioacuten de gestioacuten de incidentes de seguridad
Seguridad de los recursos humanos
Gestioacuten de continuidad del negocio
Sistemas de Informacioacuten de adquisicioacuten desarrollo y mantenimiento
Comunicacioacuten y gestioacuten de operaciones
Seguridad fiacutesica y ambiental
Los 11 dominios de la ISOIEC 27001bull Poliacutetica de Seguridadbull Organizacioacuten de la seguridad de la
informacioacutenbull Gestioacuten de Activosbull Seguridad de los recursos humanosbull Seguridad fiacutesica y ambientalbull Comunicacioacuten y gestioacuten de
operacionesbull Control de accesobull Sistemas de informacioacuten de
adquisicioacuten desarrollo y mantenimiento
bull Informacioacuten de gestioacuten de incidentes de seguridad
bull Gestioacuten de continuidad del negociobull Cumplimiento Conformidad
Gerencia
Operaciones
Leyenda
Aspectos Gerenciales
Aspectos Teacutecnicos
Aspectos Fiacutesicos
Riesgos Amenazas
VulnerabilidadesGestioacuten de Riesgos en TI
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 25
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 26
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 27
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
DE ATAQUES INTERNOS PARA DANtildeAR DATOS O SISTEMAS FRAUDES ERRORES EN EL MANEJO DE
SISTEMAS
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 28
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 29
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 30
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 31
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Seguridad Informaacutetica a Nivel de Usuarios
bull Los usuarios se acostumbran a usar la tecnologiacutea sin saber como funciona o de los riesgos que pueden correr
bull Son el punto de entrada de muchos de los problemas croacutenicos
bull Son ldquoEl eslaboacuten maacutes deacutebilrdquo en la cadena de seguridad
Usuarios comunes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 32
Seguridad Informaacutetica a Nivel de Usuarios
bull Principio del MENOR PRIVILEGIO POSIBLE
bull EDUCAR AL USUARIO
Dos enfoques para
controlarlos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 33
Seguridad Informaacutetica a Nivel de Usuarios
Principio del MENOR PRIVILEGIO POSIBLE Implica seguridad de
acceso al sistema (usuario password perfiles de usuario de
manera transaccional ndash seguridad por posicioacuten workflow)
bull Reducir la capacidad de accioacuten del usuario sobre los sistemas
bull Objetivo Lograr el menor dantildeo posible en caso de incidentes
Administracioacuten de privilegios
bull Usuarios uacutenicos e intransferibles
bull Procesos de desactivacioacuten de cuentas y activacioacuten del reemplazo (en periacuteodos vacacionales y de reposos)
bull Administracioacuten de claves de acceso
bull Alfanumeacutericas + caracteres especiales + mayuacutesculas minuacutesculas
bull Caducidad
bull Bloqueo por intentos fallidos
bull Prohibicioacuten de palabras y datos de uso comuacuten o asociadas al usuario
bull Reseteo de clave de forma automaacutetica con preguntas de desafiacuteo (pe usando datos encriptados que solo el usuario conoce como fecha de ingreso a la empresa)
bull Perfil de usuario
bull De acuerdo a la actividad y delegacioacuten de autoridad de acuerdo a su posicioacuten y responsabilidades
bull Esquemas de proteccioacuten de datos e informacioacuten (Privado Confidencial y Estrictamente Privado y Confidencial) seguacuten la posicioacuten y actividades (previendo delincuencia comuacuten o DDOO)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 34
Seguridad Informaacutetica a Nivel de Usuarios
EDUCAR AL USUARIO
bull Documentar y publicar todas las normas y procedimientos asociados
bull Generar una cultura de seguridad El usuario ayuda a reforzar y aplicar los mecanismos de seguridad
bull Objetivo Reducir el nuacutemero de incidentes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 35
Adicionales a los que ya
se mostroacute para
usuarios comunes se
debe
bull Seguridad de acceso a las instalaciones (aacuterea de desarrollo y aacuterea de servidores o main frame)
bull Poliacutetica de respaldo de informacioacuten y programas que incluyan backups in situ outside a modo copia espejo e incremental (solo variaciones)
bull Poliacuteticas de sustraccioacuten de datos incluyendo el uso de CDROM y Pendrivers (Wikiliks)
bull Crear ambientes de desarrollo de software aislados de los ambientes de produccioacuten (operaciones de la empresa) y de prueba Crear ambientes de prueba con participacioacuten funcional
bull Crear protocolos de procesos de cambio (implantacioacuten de sistemas actualizacioacuten de software incluidos los sistemas operativos) que incluyan respaldo total de programas y datos a modo espejo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 36
Seguridad Informaacutetica a Nivel de Usuarios
Vulnerabilidad
bull En un sistema informaacutetico lo que queremos proteger son sus activos es decir los recursos que forman parte del sistema y que podemos agrupar enbull - Hardware - Software
bull - Datos - Otros
bull Los mas criacuteticos son los datos el hardware y el software Es decir los datos que estaacuten almacenados en el hardware y que son procesados por las aplicaciones software
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 37
Vulnerabilidad
bull Es la debilidad de cualquier tipo que compromete la seguridad del sistema informaacutetico
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 38
Disentildeobull Debilidad en el disentildeo de protocolos utilizados en las redes
bull Poliacuteticas de seguridad deficientes e inexistentes
Implementacioacuten
bull Errores de programacioacuten
bull Existencia de ldquopuertas traserasrdquo en los sistemas informaacuteticos
bull Descuido de los fabricantes
Uso
bull Mala configuracioacuten de los sistemas informaacuteticos
bull Desconocimiento y falta de sensibilizacioacuten de los usuarios y de los responsables de informaacutetica
bull Disponibilidad de herramientas que facilitan los ataques
bull Limitacioacuten gubernamental de tecnologiacuteas de seguridad
Vulnerabilidades conocidas
bull Firewall
bull Antivirus
bull Malware
bull Antispy
bull Protocolos de encriptacioacuten
bull Firmas digitales
bull Monitoreo de redes (Comunity Manager)
Consisten en ataques
intercepciones de datos y enviacuteo de
informacioacuten usurpando identidad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 39
Vulnerabilidades
bull Ataques contra el flujo de la informacioacuten FLUJO NORMAL
Los mensajes en una red se enviacutean a partir de un emisor a uno o varios receptores
El atacante es un tercer elemento en la realidad existen millones de elementos atacantesintencionales o accidentales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 40
Emisor Receptor
Atacante
bull INTERRUPCIONbull El mensaje no puede llegar a su destino un recurso del sistema es destruido o
temporalmente inutilizado
bull Este es un ataque contra la Disponibilidad
bull Ejemplos Destruccioacuten de una pieza de hardware cortar los medios de comunicacioacuten o deshabilitar los sistemas de administracioacuten de archivos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 41
Vulnerabilidades
Emisor
Atacante
Receptor
Vulnerabilidades
bull INTERCEPCIONbull Una persona computadora o programa sin autorizacioacuten logra el acceso a un
recurso controlado
bull Es un ataque contra la Confidencialidad
bull Ejemplos Escuchas electroacutenicos copias iliacutecitas de programas o datos escalamiento de privilegios
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 42
Emisor
Atacante
Receptor
Vulnerabilidades
bull MODIFICACIONbull La persona sin autorizacioacuten ademaacutes de lograr el acceso modifica el mensaje
bull Este es un ataque contra la Integridad
bull Ejemplos Alterar la informacioacuten que se transmite desde una base de datos modificar los mensajes entre programas para que se comporten diferente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 43
bull FABRICACIONbull Una persona sin autorizacioacuten inserta objetos falsos en el sistemabull Es un ataque contra la Autenticidadbull Ejemplos Suplantacioacuten de identidades robo de sesiones robo de contrasentildeas
robo de direcciones IP etcbull Es muy difiacutecil estar seguro de quieacuten esta al otro lado de la liacutenea
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 44
Vulnerabilidades
Emisor
Atacante
Receptor
iquestQuienes Atacan los Sistemas
Gobiernos Extranjeros
Espiacuteas industriales o poliacuteticos
Criminales
Empleados descontentos y abusos internos
Adolescentes sin nada que hacer
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 45
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 46
Estado del ataque Ejemplo de Acciones
1-Buacutesqueda de Ingreso Correr un scanner de puertos
2-Penetracioacuten Explorar un sistema sin parches de seguridad
3-Elevacioacuten de Privilegios Lograr cuenta de Administrador
5-Enmascaramiento Borrado de rastros del ingreso y ataque
4-Ataque en si mismo Robo de datos destruccioacuten del sitio web etc
INTRUSO
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 47
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 48
Actuacioacuten del Criminal
bull Se requieren talentos especiales
bull El fraude ha crecido gracias a la aparicioacuten de las computadoras
Mitos
bull Dinero
bull Satisfaccioacuten (egocentrismo)
bull Ideologiacutea
bull Psicosis
Motivaciones personales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 49
bull Ambiente de trabajo
bull Prestaciones
bull Nivel de confianza interpersonal
bull Eacutetica ambiental
bull Nivel de stress
bull AMBIENTE DE CONTROL INTERNO
Motivaciones ambientales
Ethical Hacking
Es una intrusioacuten eacutetica es la aplicacioacuten de herramientas de intrusioacuten penetracioacuten robo personificacioacuten y negacioacuten de servicio llevado a cabo por hackers eacuteticos es decir personas con la experiencia y conocimiento suficiente para llevar a cabo estas pruebas en nombre de la organizacioacuten es decir de manera legal y prevista para determinar el nivel de seguridad de una red de equipos o servicios (incluido el aspecto de ingenieriacutea social)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 50
Ethical Hacking
bull al conocer el nivel de seguridad que se tiene en nuestra organizacioacuten es mucho maacutes sencillo no simple el tomar medidas que puedan subsanar estas deficienciasiquestPor queacute es
Importante
bull No al usar las armas que el enemigo usa es maacutes factible que podamos determinar el nivel de riesgo y por tanto la respuesta que debemos dar ante un ataque vieacutendolo como analogiacutea meacutedica es como cuando nos vacunan pues nos inoculan una versioacuten del virus del cual nos quieren hacer inmunes
iquestNo es contraproducente
bull Al contratar un servicio o realizarlo de manera interna estamos confiando en la eacutetica profesional de quien evaluacutea por lo que siacute siempre llevamos un riesgo pero se establece un contrato de buena fe hacieacutendolo suficientemente fiable (asegurando)iquestEs fiable
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 51
Ejemplos de Criacutemenes Electroacutenicos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 52
Ataque en 1986 de alemanes trabajando para la KGB contra sistemas estrateacutegicos de EEUU (Clifford Stoll Cuckooacutes egg)
El gusano Morris que se propagoacute por internet en 1988
causando un problema de DoS La causa fue la interrupcioacuten
causada por un programa escrito por Robert Tappan Morris
414 Gang enviacutea ataques contra los registros meacutedicos del
hospital para enfermos de caacutencer Sloan-Kettering
Ataques de Kevin Mitnick 1989-1996
Penetracioacuten de la red de Microsoft en octubre de 2000
por un cracker que ganoacute acceso a programas en desarrollo
Esparcimiento del Love Letter difundido por Onel Guzmaacuten en
Filipinas
53
DDoS contra Yahoo Amazon y Zdnet
Muacuteltiples problemas por virus desde
entonces
Target (Robo de informacioacuten de clientes
Identidad y datos financieros)
Juegos del Hambre
Ataque a Sony (Cyberterrorismo) y la
Respuesta con el apagoacuten de internet a
Korea del Norte
Carnabank (Europa oriental europa
occidental EEUU Panamaacute)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
Ejemplos de Criacutemenes Electroacutenicos
Algunas Clases de Ataques
Negacioacuten de Servicio (DoS)
Robo de contrasentildeas
Robo de identidad
Ingenieriacutea social
Defacement
FraudePirateriacutea de
softwareDumpster
divingCoacutedigo
MaliciosoIP spoofing
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 54
Algunas Clases de Ataques
EspionajeDestruccioacuten o alteracioacuten de informacioacuten
Uso de scripts de ataque
desarrolladosPhishing
Ciber -Terrorismo
War DialingWar
DrivingWalkingWar Chalking
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 55
El Caso Carbanak 1MMMUS$
La banda delictiva ciberneacutetica CARBANAK roba mil millones de doacutelares de 100 instituciones financieras en todo el mundo Kaspersky Lab la INTERPOL EUROPOL y autoridades de diferentes paiacuteses han unido sus fuerzas para dejar al descubierto el complot delictivo de un robo ciberneacutetico sin precedentes Hasta mil millones de doacutelares americanos fueron robados en cerca de dos antildeos de instituciones financieras en todo el mundo Los expertos informan que la responsabilidad del robo recae en una banda multinacional de ciberdelincuentesde Rusia Ucrania y otras partes de Europa asiacute como de China
La banda CARBANAK responsable del robo ciberneacutetico utilizoacute teacutecnicas extraiacutedas del arsenal de los ataques selectivos El complot marca el inicio de una nueva etapa en la evolucioacuten de la actividad de delincuencia ciberneacutetica donde usuarios maliciosos roban dinero directamente de los bancos y evitan concentrar sus ataques en los usuarios finales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 56
Comunicado de prensa 160215 - Karpersky
5705062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
MALWARE
El malware es un tipo de software que tiene como objetivo infiltrarse o dantildear un ordenador sistema de informacioacuten sin el consentimiento de su propietario
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 58
POPUP
bull Un pop-up es un tipo de ventana web que aparece delante de la ventana de un navegador al visitar una paacutegina web
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 59
VOLVER
ADWARE
bull Un programa de clase adware es cualquier programa que automaacuteticamente muestra publicidad web al usuario durante su instalacioacuten o durante su uso para generar lucro a sus autores
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 60
SPAM
bull Se llama spam correo basura a los mensajes no solicitados no deseados o de remitente no conocido habitualmente de tipo publicitario generalmente enviados
en grandes cantidades que perjudican al receptor
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 61
Bomba Loacutegica
Son programas informaacuteticos que se instala en un ordenador y permanece oculto hasta cumplirse una o maacutes condiciones preprogramadas para en ese momento ejecutar una accioacuten
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 62
volver
VIRUS DE MACROS
bull Es una secuencia de oacuterdenes de teclado y ratoacuten asignadas a una sola tecla Los virus de macros afectan a archivos y plantillas que los contienen hacieacutendose pasar por una macro y no actuaraacuten hasta que el archivo se abra o utilice
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 63
VOLVER
VIRUS RESIDENTES
bull Se colocan automaacuteticamente en la memoria RAM del ordenador De este modo pueden controlar e interceptar todas las operaciones llevadas a cabo por el sistema operativo infectando todos aquellos ficheros yo programas que sean ejecutados abiertos cerrados renombrados copiados etc
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 64
VIRUS DE ENLACE
bull Modifican las direcciones que permiten a nivel interno acceder a cada uno de los archivos existentes y como consecuencia no es posible localizarlos y trabajar con ellos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 65
VOLVER
VIRUS MUTANTES
bull Son virus que mutan es decir x Debido a estas mutaciones cada generacioacuten de virus es diferente a la versioacuten anterior dificultando asiacute su deteccioacuten y eliminacioacuten
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 66
VIRUS DE BOOT
bull Se activan en el momento en el que se arranca el ordenador desde un disco infectado ya sea desde el disco duro o desde una memoria USB
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 67
VOLVER
VIRUS DE PROGRAMA
bull Comuacutenmente infectan archivos con extensiones EXE COM OVL DRV BIN DLL y SYS
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 68
VOLVER
VIRUS DE SOBREESCRITURA
bull Sobre-escriben en el interior de los archivos atacados haciendo que se pierda el contenido de los mismos
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 69
Ataques de Seguridad
bull Spyware Es un software de computadoraque al instalarse intercepta o toma controlparcial de la interaccioacuten de lacomputadora y el usuario esto sin que elmismo se de cuenta Estos programaspueden recolectar diferentes tipos deinformacioacuten de los usuarios asiacute comoinstalar software adicional sin elconsentimiento de los mismos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 70
71
Herramientas de Seguridad
bull Gusano Es un programa de computadora quepuede replicarse a si mismo utiliza la red paraenviar copias de si mismo a otros nodos y lopuede hacer sin la intervencioacuten del usuario
A diferencia de los ldquovirusrdquo los gusanos nonecesitan estar amarrados a un programa y sufuncioacuten es principalmente dantildear la red (ejdesempentildeo) mientras que los virus dantildeanarchivos en computadoras
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
72
Ataques de Seguridad
bull Caballo de Troya Es una programa que seinstala bajo la creencia de que se estainstalando alguna otra cosa Los troyanosson programas muy utilizados parainstalar programas tipo ldquobackdoorsrdquo quepermiten el acceso no autorizado a lacomputadora atacada un ejemplo deprogramas tipo backdoor son losKeyloogers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
73
Ataques de Seguridad
bull DoS Denial of service- Ataques quehacen indisponible un servicio a losusuarios
bull DDoS Son conocidos como DNSBackbone Distributed Denial ofServices ndash Ataques tienen comoblanco los servidores raiacutez DNS por lotanto afectan uno de los pilares delInternet los nombres de los dominios
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
74
Ataques de Seguridad
bull Footprinting Teacutecnica utilizada para reunir informacioacuten acerca de sistemas computacionales y las entidades a las que pertenece algunos ejemplos son
- Domain queries
- Network queries
- Organizational queries
- TCP scans
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
75
Ataques de Seguridad
bull Fingerprinting Tambieacuten es conocidocomo TCPIP stack fingerprinting y esutilizado para determinar que sistemaoperativo utiliza alguacuten blanco en la redExiste dos tipos de fingerprinting
- Pasivo- Activo
NMAP es una herramienta que utilizafingerprinting activo para mapearpuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
76
Ataques de Seguridad
bull Escaneo de puertos El escaneo depuertos se basa en el FingerprintingActivo es decir transmite y recibesentildeales como ICMP TELNET SNMPdesde un blanco determinado en lared esto con el fin de obtenerinformacioacuten de dicho blanco en estecaso informacioacuten acerca de suspuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
77
Ataques de Seguridad
bull Sniffing Para llevar a cabo el sniffing esnecesario contar con un ldquopacket snifferrdquoque puede ser software instalado en unacomputadora o un dispositivoindependiente (appliance) estedispositivo es utilizado para interceptar yregistrar traacutefico que pasa a traveacutes de unared o de un segmento de la misma(Puede ser de una red ethernet owireless)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
78
Ataques de Seguridad
bull Spoofing Los ataques tipo spoofing sonaquellos en los que una persona oprograma logra hacerse pasar por otrafalsificando informacioacuten o utilizando laingenieriacutea algunos ataques tipo spoofingson los siguientes
- Falsificacioacuten de direccioacuten de email
- Falsificacioacuten de ID de llamadas telefoacutenicas
- Falsificacioacuten de sitios de internet (phishing)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
79
Ataques de Seguridad
bull Phishing Es el uso de teacutecnicas deingenieriacutea social con la finalidad deadquirir de manera fraudulentainformacioacuten confidencial comonombres de usuarios contrasentildeasinformacioacuten de tarjetas de creacutedito
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
80
Ataques de Seguridad
bull Ingenieriacutea Social Se refiere a unacoleccioacuten de teacutecnicas utilizadas paramanipular a las personas para querealicen alguna accioacuten o divulgueninformacioacuten confidencial
Algunos ingenieros sociales notablesson
- Kevin Mitnik
- Frank Abagnale
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
Ingenieriacutea Social
Es el conjunto de meacutetodos y praacutecticas usados para obtener informacioacuten de usuarios legiacutetimos y con la informacioacuten obtenida lograr acceso a sistemas protegidos siendo esta praacutectica de uso comuacuten entre piratas informaacuteticos y delincuentes computacionales
Coacutemo me afecta Al no validar las referencias o no seguir el protocolo de seguridad adecuado para divulgar contrasentildeas o cualquier otra informacioacuten sensible podemos ser coacutemplices de un crimen Meacutexico ha acordado con organismos internacionales la homologacioacuten yo adecuacioacuten de coacutedigos penales para que estos delitos sean perseguidos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 81
Ingenieriacutea Social
Coacutemo puedo saber si estoy siendo viacutectima de un ingeniero social Muy simple cuando alguien nos pide alguacuten tipo de informacioacuten privilegiada y esta persona es insistente cuando le requerimos seguir un protocolo para validar su intencioacuten es altamente probable que estemos siendo viacutectimas de un intento de robo de informacioacuten por un ingeniero socialhacker
Coacutemo puedo evitarlo Sencillo si no confiamos en la persona que nos solicita los datos (supongamos un teacutecnico de soporte de nuestro lugar de trabajo) podemos pedirle que nos deje sus datos y comunicarnos con el 10 minutos despueacutes de validar que la peticioacuten es legiacutetima es decir soacutelo sigamos los protocolos que existen en el trabajo y crear los propios en casa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 82
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra los Sistemas que Utilizan Tecnologiacuteas de Informacioacuten
bull Artiacuteculo 6 Acceso indebido
bull Artiacuteculo 7 Sabotaje o dantildeo a sistemas
bull Artiacuteculo 8 Favorecimiento culposo del sabotaje o dantildeo
bull Artiacuteculo 9 Acceso indebido o sabotaje a sistemas protegidos
bull Artiacuteculo 10 Posesioacuten de equipos o prestacioacuten de servicios de sabotaje
bull Artiacuteculo 11 Espionaje informaacutetico
bull Artiacuteculo 12 Falsificacioacuten de documentos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 83
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Propiedad
bull Artiacuteculo 13 Hurto
bull Artiacuteculo 14 Fraude
bull Artiacuteculo 15 Obtencioacuten indebida de bienes o servicios
bull Artiacuteculo 16 Manejo fraudulento de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 17 Apropiacioacuten de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 18 Provisioacuten indebida de bienes o servicios
bull Artiacuteculo 19 Posesioacuten de equipo para falsificaciones
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 84
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Privacidad de las Personas y de las Comunicaciones
bullArtiacuteculo 20 Violacioacuten de la privacidad de la data o informacioacuten de caraacutecter personal
bullArtiacuteculo 21 Violacioacuten de la privacidad de las comunicaciones
bullArtiacuteculo 22 Revelacioacuten indebida de data o informacioacuten de caraacutecter personal
De los Delitos Contra Nintildeos Nintildeas o Adolescentes
bullArtiacuteculo 23 Difusioacuten o exhibicioacuten de material pornograacutefico
bullArtiacuteculo 24 Exhibicioacuten pornograacutefica de nintildeos o adolescentes
De los Delitos Contra el Orden Econoacutemico
bullArtiacuteculo 25 Apropiacioacuten de propiedad intelectual
bullArtiacuteculo 26 Oferta engantildeosa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 85
Plan de Contingencia Continuidad Operacional
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 86
Plan de Contingencia
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 87
ldquoConjunto de Normas y Procedimientos documentadosy comunicados que tienen por objetivo minimizar los riesgos informaacuteticos mas probablesrdquo
InvolucrabullUso de herramientas
bullCumplimiento de Tareas por
parte de personas
Plan de Contingencia
Consta de tres subplanes independientes
bull Plan de Respaldo crear y conservar en un lugar seguro copias de seguridad de la informacioacuten
bull Pla de Emergencia queacute medidas tomar cuando se estaacute materializando una amenaza o cuando acaba de producirse
bull Plan de Recuperacioacuten medidas que se aplicaran cuando se ha producido un desastre El objetivo es evaluar el impacto y regresar lo antes posible
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 88
Plan de Contingencia
En la elaboracioacuten de este plan no se puede dejar por fuera a los miembros de la organizacioacuten el cual debe estar informado y entrenado para actuar en las funciones que le hayan sido encomendadas en caso de producirse una amenaza o impacto
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 89
Continuidad Operacional
Business Continuity Planning (Plan de Continuidad de negocios)
bull Plan Baacutesico
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Coldsite)
bull Plan Intermedio
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan Alto
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan de respuesta y continuidad de negocios alternativo (sin asistencia de sistemas)
bull Stress Testing al Plan
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 90
El Stress Testing
bull Poner a prueba el planbull Revise y evalueacute
bull Respaldosbull Oportunidad integridad y funcionalidadbull Custodia y transporte
bull Cold y Hotsitebull Funcionalidad accesibilidad y compatibilidadbull Actualizacioacuten oportuna (hotsite)
bull Personalbull Roles y funcionesbull Accesibilidad (contactos y comunicaciones)
bull Simulacioacuten de cataacutestrofesbull Sin previo aviso el director encargado del BCP se presenta en el centro de computo
cronometro en mano y baja la cuchilla de electricidad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 91
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de Lehman Brothers
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el WorldTrade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehman se desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del World Trade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehman teniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 92
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de LehmanBrothers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 93
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el World Trade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehmanse desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 94
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del WorldTrade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehmanteniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 95
La Contingencia Manual la Uacuteltima Frontera
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 96
05062015 97
DATOS BAacuteSICOS
Responsable A Nivel Corporativo Responsable(s) A Nivel Regional
PROVEEDOR (ES)
Origen Responsable Insumo (s)
RESULTADOS
Normas y Procedimientos Asociados Fecha uacuteltima revisioacuten Sistemas Aplicaciones Asociadas
Proceso
CALIFICACIOacuteN DE CONTROLES DE ENTRADA
Actividad
RECOMENDACIONES
Procesamiento
Automaacutetico (A)Manual (M)
Frecuencia
Adiestramiento Proceso Sistema N y P Otros
Negocio Area Localidad
Responsable
Nombre CargoNombre Cargo
NOMBRE
ELABORADO POR
CARGO FIRMA
Calidad de Data (B) Buena (R) Regular (M) Mala Oportunidad (AT) A Tiempo (R) Retrasada Revisioacuten Aprobacioacuten (S) Si (N) NoLEYENDA
Calificacioacuten (F) Fuerte (M) Medio (B) Bajo
DescripcioacutenResponsableDescripcioacuten
Tarea
Descripcioacuten
FRECUENCIA DE LA TAREA Diaria (D) Semanal (S) Mensual (M) Trimestral (T) Anual (A) Ocasional (O)
Soportes Recepcioacuten (P) Papel (E) Electroacutenico Archivo (S) Si (N) No Soportes Enviacuteo (S) Si (N) No Backup (S) Si (N) No
Producto (s) Cliente ReceptorControl
de salida
SoportesFrecuencia
Recepcioacuten Backup
DOCUMENTOS SISTEMAS ASOCIADOS A LOS CONTROLES
CALIFICACIOacuteN DE CONTROLES (por parte del Cliente Receptor)
Revisioacuten
Aprobacioacuten
Revisioacuten
AprobacioacutenTipo de control
Procesamiento
Automaacutetico (A)Manual (M)
Control
De EntradaTipo de control
Soportes
Recepcioacuten Archivo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 98
DATOS BAacuteSICOS
TareaActividad
Proceso Responsable del Proceso
Fecha de Elaboracioacuten 2015
Accioacuten (es) Responsable (s)
OBSERVACIONES ELABORADO POR
FIRMA
NOMBRE
Plan de recuperacioacuten y Reactivacioacuten de Finanzas
Recomendaciones Acciones
La Cadena de Valor de una Organizacioacuten de Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 99
ASESORAR EN CONTROLES DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR DELEGACIONES FINANCIERAS
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
CONTROLAR SEGURIDAD SISTEMA
OPERACIONALES ADMINISTRATIVOS Y OTROS
SISTEMAS FINANCIEROS
DESARROLLAR CONTROLES
DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR Y DESARROLLAR PLAN INTEGRAL DE CONTROL ( PIC )
Asesorar en controles de procesos normas y
Procedimientos
Administrar delegaciones financieras
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
Controlar seguridad sistema
operacionales administrativos y otros
sistemas financieros
Desarrollar
controles de
procesos
normas y
procedimientos
Administrar y desarrollar plan integral de control ( PIC )
Anaacutelisis de Riesgo
Estrategias de Recuperacioacuten
Desarrollo de las Estrategias
Desarrollo de los Procedimientos
Pruebas y Entrenamiento
Plan de Mantenimiento
Consecuencia de la Poliacutetica de Seguridad
bull La definicioacuten del plan de contingencias es uno de los resultados y parte de la poliacutetica de seguridad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 16
Esta norma define una poliacutetica de autorizacioacuten geneacuterica la cual puede formularse de la siguiente forma
ldquoLa informacioacuten no puede darse ni puede permitirse el acceso a ella ni se puede permitir que sea inferida ni se puede utilizar ninguacuten recurso por parte de personas o entidades que no estaacuten autorizadas de forma apropiadardquo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 17
bull Determinacioacuten del acceso y uso de los recursos en base a las identidades de los usuarios y recursos
Poliacuteticas Basadas en Identidad
bull El acceso a los recursos se controla a traveacutes de reglas globales impuestas a todos los usuarios por ejemplo utilizando etiquetas de seguridad
Poliacuteticas Basadas en Reglas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 18
bull Autenticacioacuten tanto de entidades como de origen
bull Control de acceso
bull Confidencialidad de los datos
bull Integridad de los datos
bull No repudio
Define cinco categoriacuteas principales de servicios
de seguridad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 19
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 20
Propietariosvaloran
Quieren minimizar
Salvaguardasdefinen
Pueden tener conciencia de
Amenazasexplotan
VulnerabilidadesPermiten o facilitan
Dantildeo
RECURSOSQue pueden tener
Reducen
RIESGO
Fecha __ __ __
Componente Supervisioacuten
Formulario nuacutemero 6 - Mapeo de Riesgos resultado de la evaluacioacuten de Efectividad Eficiencia y Cumplimiento de los Controles
Fecha ________
Entidad evaluada _____________ Proceso _____________________________________Sub Proceso_______________________________________Etapa sub proceso________________________
Elaborado por____________________________________Aprobado Por_________________________________ Pag __ de __
8 500
3 300
0
3
6
9
12
0 3 6 9 12
PR
OB
AB
ILID
AD
IMPACTO
MAPA DE RIESGOS
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 21
Responsabilidad de la Gerencia
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 22
Seguridad Informaacutetica ISOIEC 27001
ldquoLa seguridad informaacutetica consiste en la implantacioacuten de un conjunto de medidas teacutecnicas destinadas a preservar la confidencialidad la integridad y la disponibilidad de la informacioacuten pudiendo ademaacutes abarcar otras propiedades como la autenticidad la responsabilidad la fiabilidad y el no repudiordquo
Es la definicioacuten ofrecida por el estaacutendar para la seguridad de la informacioacuten ISOIEC 27001 aprobado y publicado en octubre de 2005 por la International Organization for Standardization (ISO) y por la comisioacuten International Electrotechnical Commission (IEC)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 23
Estructura Organizacional
Poliacutetica de Seguridad
Organizacioacuten de la Seguridad de la Informacioacuten
Gestioacuten de Activos Control de Acceso
Cumplimiento Conformidad Informacioacuten de gestioacuten de incidentes de seguridad
Seguridad de los recursos humanos
Gestioacuten de continuidad del negocio
Sistemas de Informacioacuten de adquisicioacuten desarrollo y mantenimiento
Comunicacioacuten y gestioacuten de operaciones
Seguridad fiacutesica y ambiental
Los 11 dominios de la ISOIEC 27001bull Poliacutetica de Seguridadbull Organizacioacuten de la seguridad de la
informacioacutenbull Gestioacuten de Activosbull Seguridad de los recursos humanosbull Seguridad fiacutesica y ambientalbull Comunicacioacuten y gestioacuten de
operacionesbull Control de accesobull Sistemas de informacioacuten de
adquisicioacuten desarrollo y mantenimiento
bull Informacioacuten de gestioacuten de incidentes de seguridad
bull Gestioacuten de continuidad del negociobull Cumplimiento Conformidad
Gerencia
Operaciones
Leyenda
Aspectos Gerenciales
Aspectos Teacutecnicos
Aspectos Fiacutesicos
Riesgos Amenazas
VulnerabilidadesGestioacuten de Riesgos en TI
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 25
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 26
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 27
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
DE ATAQUES INTERNOS PARA DANtildeAR DATOS O SISTEMAS FRAUDES ERRORES EN EL MANEJO DE
SISTEMAS
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 28
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 29
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 30
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 31
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Seguridad Informaacutetica a Nivel de Usuarios
bull Los usuarios se acostumbran a usar la tecnologiacutea sin saber como funciona o de los riesgos que pueden correr
bull Son el punto de entrada de muchos de los problemas croacutenicos
bull Son ldquoEl eslaboacuten maacutes deacutebilrdquo en la cadena de seguridad
Usuarios comunes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 32
Seguridad Informaacutetica a Nivel de Usuarios
bull Principio del MENOR PRIVILEGIO POSIBLE
bull EDUCAR AL USUARIO
Dos enfoques para
controlarlos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 33
Seguridad Informaacutetica a Nivel de Usuarios
Principio del MENOR PRIVILEGIO POSIBLE Implica seguridad de
acceso al sistema (usuario password perfiles de usuario de
manera transaccional ndash seguridad por posicioacuten workflow)
bull Reducir la capacidad de accioacuten del usuario sobre los sistemas
bull Objetivo Lograr el menor dantildeo posible en caso de incidentes
Administracioacuten de privilegios
bull Usuarios uacutenicos e intransferibles
bull Procesos de desactivacioacuten de cuentas y activacioacuten del reemplazo (en periacuteodos vacacionales y de reposos)
bull Administracioacuten de claves de acceso
bull Alfanumeacutericas + caracteres especiales + mayuacutesculas minuacutesculas
bull Caducidad
bull Bloqueo por intentos fallidos
bull Prohibicioacuten de palabras y datos de uso comuacuten o asociadas al usuario
bull Reseteo de clave de forma automaacutetica con preguntas de desafiacuteo (pe usando datos encriptados que solo el usuario conoce como fecha de ingreso a la empresa)
bull Perfil de usuario
bull De acuerdo a la actividad y delegacioacuten de autoridad de acuerdo a su posicioacuten y responsabilidades
bull Esquemas de proteccioacuten de datos e informacioacuten (Privado Confidencial y Estrictamente Privado y Confidencial) seguacuten la posicioacuten y actividades (previendo delincuencia comuacuten o DDOO)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 34
Seguridad Informaacutetica a Nivel de Usuarios
EDUCAR AL USUARIO
bull Documentar y publicar todas las normas y procedimientos asociados
bull Generar una cultura de seguridad El usuario ayuda a reforzar y aplicar los mecanismos de seguridad
bull Objetivo Reducir el nuacutemero de incidentes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 35
Adicionales a los que ya
se mostroacute para
usuarios comunes se
debe
bull Seguridad de acceso a las instalaciones (aacuterea de desarrollo y aacuterea de servidores o main frame)
bull Poliacutetica de respaldo de informacioacuten y programas que incluyan backups in situ outside a modo copia espejo e incremental (solo variaciones)
bull Poliacuteticas de sustraccioacuten de datos incluyendo el uso de CDROM y Pendrivers (Wikiliks)
bull Crear ambientes de desarrollo de software aislados de los ambientes de produccioacuten (operaciones de la empresa) y de prueba Crear ambientes de prueba con participacioacuten funcional
bull Crear protocolos de procesos de cambio (implantacioacuten de sistemas actualizacioacuten de software incluidos los sistemas operativos) que incluyan respaldo total de programas y datos a modo espejo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 36
Seguridad Informaacutetica a Nivel de Usuarios
Vulnerabilidad
bull En un sistema informaacutetico lo que queremos proteger son sus activos es decir los recursos que forman parte del sistema y que podemos agrupar enbull - Hardware - Software
bull - Datos - Otros
bull Los mas criacuteticos son los datos el hardware y el software Es decir los datos que estaacuten almacenados en el hardware y que son procesados por las aplicaciones software
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 37
Vulnerabilidad
bull Es la debilidad de cualquier tipo que compromete la seguridad del sistema informaacutetico
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 38
Disentildeobull Debilidad en el disentildeo de protocolos utilizados en las redes
bull Poliacuteticas de seguridad deficientes e inexistentes
Implementacioacuten
bull Errores de programacioacuten
bull Existencia de ldquopuertas traserasrdquo en los sistemas informaacuteticos
bull Descuido de los fabricantes
Uso
bull Mala configuracioacuten de los sistemas informaacuteticos
bull Desconocimiento y falta de sensibilizacioacuten de los usuarios y de los responsables de informaacutetica
bull Disponibilidad de herramientas que facilitan los ataques
bull Limitacioacuten gubernamental de tecnologiacuteas de seguridad
Vulnerabilidades conocidas
bull Firewall
bull Antivirus
bull Malware
bull Antispy
bull Protocolos de encriptacioacuten
bull Firmas digitales
bull Monitoreo de redes (Comunity Manager)
Consisten en ataques
intercepciones de datos y enviacuteo de
informacioacuten usurpando identidad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 39
Vulnerabilidades
bull Ataques contra el flujo de la informacioacuten FLUJO NORMAL
Los mensajes en una red se enviacutean a partir de un emisor a uno o varios receptores
El atacante es un tercer elemento en la realidad existen millones de elementos atacantesintencionales o accidentales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 40
Emisor Receptor
Atacante
bull INTERRUPCIONbull El mensaje no puede llegar a su destino un recurso del sistema es destruido o
temporalmente inutilizado
bull Este es un ataque contra la Disponibilidad
bull Ejemplos Destruccioacuten de una pieza de hardware cortar los medios de comunicacioacuten o deshabilitar los sistemas de administracioacuten de archivos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 41
Vulnerabilidades
Emisor
Atacante
Receptor
Vulnerabilidades
bull INTERCEPCIONbull Una persona computadora o programa sin autorizacioacuten logra el acceso a un
recurso controlado
bull Es un ataque contra la Confidencialidad
bull Ejemplos Escuchas electroacutenicos copias iliacutecitas de programas o datos escalamiento de privilegios
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 42
Emisor
Atacante
Receptor
Vulnerabilidades
bull MODIFICACIONbull La persona sin autorizacioacuten ademaacutes de lograr el acceso modifica el mensaje
bull Este es un ataque contra la Integridad
bull Ejemplos Alterar la informacioacuten que se transmite desde una base de datos modificar los mensajes entre programas para que se comporten diferente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 43
bull FABRICACIONbull Una persona sin autorizacioacuten inserta objetos falsos en el sistemabull Es un ataque contra la Autenticidadbull Ejemplos Suplantacioacuten de identidades robo de sesiones robo de contrasentildeas
robo de direcciones IP etcbull Es muy difiacutecil estar seguro de quieacuten esta al otro lado de la liacutenea
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 44
Vulnerabilidades
Emisor
Atacante
Receptor
iquestQuienes Atacan los Sistemas
Gobiernos Extranjeros
Espiacuteas industriales o poliacuteticos
Criminales
Empleados descontentos y abusos internos
Adolescentes sin nada que hacer
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 45
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 46
Estado del ataque Ejemplo de Acciones
1-Buacutesqueda de Ingreso Correr un scanner de puertos
2-Penetracioacuten Explorar un sistema sin parches de seguridad
3-Elevacioacuten de Privilegios Lograr cuenta de Administrador
5-Enmascaramiento Borrado de rastros del ingreso y ataque
4-Ataque en si mismo Robo de datos destruccioacuten del sitio web etc
INTRUSO
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 47
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 48
Actuacioacuten del Criminal
bull Se requieren talentos especiales
bull El fraude ha crecido gracias a la aparicioacuten de las computadoras
Mitos
bull Dinero
bull Satisfaccioacuten (egocentrismo)
bull Ideologiacutea
bull Psicosis
Motivaciones personales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 49
bull Ambiente de trabajo
bull Prestaciones
bull Nivel de confianza interpersonal
bull Eacutetica ambiental
bull Nivel de stress
bull AMBIENTE DE CONTROL INTERNO
Motivaciones ambientales
Ethical Hacking
Es una intrusioacuten eacutetica es la aplicacioacuten de herramientas de intrusioacuten penetracioacuten robo personificacioacuten y negacioacuten de servicio llevado a cabo por hackers eacuteticos es decir personas con la experiencia y conocimiento suficiente para llevar a cabo estas pruebas en nombre de la organizacioacuten es decir de manera legal y prevista para determinar el nivel de seguridad de una red de equipos o servicios (incluido el aspecto de ingenieriacutea social)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 50
Ethical Hacking
bull al conocer el nivel de seguridad que se tiene en nuestra organizacioacuten es mucho maacutes sencillo no simple el tomar medidas que puedan subsanar estas deficienciasiquestPor queacute es
Importante
bull No al usar las armas que el enemigo usa es maacutes factible que podamos determinar el nivel de riesgo y por tanto la respuesta que debemos dar ante un ataque vieacutendolo como analogiacutea meacutedica es como cuando nos vacunan pues nos inoculan una versioacuten del virus del cual nos quieren hacer inmunes
iquestNo es contraproducente
bull Al contratar un servicio o realizarlo de manera interna estamos confiando en la eacutetica profesional de quien evaluacutea por lo que siacute siempre llevamos un riesgo pero se establece un contrato de buena fe hacieacutendolo suficientemente fiable (asegurando)iquestEs fiable
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 51
Ejemplos de Criacutemenes Electroacutenicos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 52
Ataque en 1986 de alemanes trabajando para la KGB contra sistemas estrateacutegicos de EEUU (Clifford Stoll Cuckooacutes egg)
El gusano Morris que se propagoacute por internet en 1988
causando un problema de DoS La causa fue la interrupcioacuten
causada por un programa escrito por Robert Tappan Morris
414 Gang enviacutea ataques contra los registros meacutedicos del
hospital para enfermos de caacutencer Sloan-Kettering
Ataques de Kevin Mitnick 1989-1996
Penetracioacuten de la red de Microsoft en octubre de 2000
por un cracker que ganoacute acceso a programas en desarrollo
Esparcimiento del Love Letter difundido por Onel Guzmaacuten en
Filipinas
53
DDoS contra Yahoo Amazon y Zdnet
Muacuteltiples problemas por virus desde
entonces
Target (Robo de informacioacuten de clientes
Identidad y datos financieros)
Juegos del Hambre
Ataque a Sony (Cyberterrorismo) y la
Respuesta con el apagoacuten de internet a
Korea del Norte
Carnabank (Europa oriental europa
occidental EEUU Panamaacute)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
Ejemplos de Criacutemenes Electroacutenicos
Algunas Clases de Ataques
Negacioacuten de Servicio (DoS)
Robo de contrasentildeas
Robo de identidad
Ingenieriacutea social
Defacement
FraudePirateriacutea de
softwareDumpster
divingCoacutedigo
MaliciosoIP spoofing
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 54
Algunas Clases de Ataques
EspionajeDestruccioacuten o alteracioacuten de informacioacuten
Uso de scripts de ataque
desarrolladosPhishing
Ciber -Terrorismo
War DialingWar
DrivingWalkingWar Chalking
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 55
El Caso Carbanak 1MMMUS$
La banda delictiva ciberneacutetica CARBANAK roba mil millones de doacutelares de 100 instituciones financieras en todo el mundo Kaspersky Lab la INTERPOL EUROPOL y autoridades de diferentes paiacuteses han unido sus fuerzas para dejar al descubierto el complot delictivo de un robo ciberneacutetico sin precedentes Hasta mil millones de doacutelares americanos fueron robados en cerca de dos antildeos de instituciones financieras en todo el mundo Los expertos informan que la responsabilidad del robo recae en una banda multinacional de ciberdelincuentesde Rusia Ucrania y otras partes de Europa asiacute como de China
La banda CARBANAK responsable del robo ciberneacutetico utilizoacute teacutecnicas extraiacutedas del arsenal de los ataques selectivos El complot marca el inicio de una nueva etapa en la evolucioacuten de la actividad de delincuencia ciberneacutetica donde usuarios maliciosos roban dinero directamente de los bancos y evitan concentrar sus ataques en los usuarios finales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 56
Comunicado de prensa 160215 - Karpersky
5705062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
MALWARE
El malware es un tipo de software que tiene como objetivo infiltrarse o dantildear un ordenador sistema de informacioacuten sin el consentimiento de su propietario
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 58
POPUP
bull Un pop-up es un tipo de ventana web que aparece delante de la ventana de un navegador al visitar una paacutegina web
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 59
VOLVER
ADWARE
bull Un programa de clase adware es cualquier programa que automaacuteticamente muestra publicidad web al usuario durante su instalacioacuten o durante su uso para generar lucro a sus autores
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 60
SPAM
bull Se llama spam correo basura a los mensajes no solicitados no deseados o de remitente no conocido habitualmente de tipo publicitario generalmente enviados
en grandes cantidades que perjudican al receptor
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 61
Bomba Loacutegica
Son programas informaacuteticos que se instala en un ordenador y permanece oculto hasta cumplirse una o maacutes condiciones preprogramadas para en ese momento ejecutar una accioacuten
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 62
volver
VIRUS DE MACROS
bull Es una secuencia de oacuterdenes de teclado y ratoacuten asignadas a una sola tecla Los virus de macros afectan a archivos y plantillas que los contienen hacieacutendose pasar por una macro y no actuaraacuten hasta que el archivo se abra o utilice
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 63
VOLVER
VIRUS RESIDENTES
bull Se colocan automaacuteticamente en la memoria RAM del ordenador De este modo pueden controlar e interceptar todas las operaciones llevadas a cabo por el sistema operativo infectando todos aquellos ficheros yo programas que sean ejecutados abiertos cerrados renombrados copiados etc
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 64
VIRUS DE ENLACE
bull Modifican las direcciones que permiten a nivel interno acceder a cada uno de los archivos existentes y como consecuencia no es posible localizarlos y trabajar con ellos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 65
VOLVER
VIRUS MUTANTES
bull Son virus que mutan es decir x Debido a estas mutaciones cada generacioacuten de virus es diferente a la versioacuten anterior dificultando asiacute su deteccioacuten y eliminacioacuten
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 66
VIRUS DE BOOT
bull Se activan en el momento en el que se arranca el ordenador desde un disco infectado ya sea desde el disco duro o desde una memoria USB
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 67
VOLVER
VIRUS DE PROGRAMA
bull Comuacutenmente infectan archivos con extensiones EXE COM OVL DRV BIN DLL y SYS
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 68
VOLVER
VIRUS DE SOBREESCRITURA
bull Sobre-escriben en el interior de los archivos atacados haciendo que se pierda el contenido de los mismos
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 69
Ataques de Seguridad
bull Spyware Es un software de computadoraque al instalarse intercepta o toma controlparcial de la interaccioacuten de lacomputadora y el usuario esto sin que elmismo se de cuenta Estos programaspueden recolectar diferentes tipos deinformacioacuten de los usuarios asiacute comoinstalar software adicional sin elconsentimiento de los mismos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 70
71
Herramientas de Seguridad
bull Gusano Es un programa de computadora quepuede replicarse a si mismo utiliza la red paraenviar copias de si mismo a otros nodos y lopuede hacer sin la intervencioacuten del usuario
A diferencia de los ldquovirusrdquo los gusanos nonecesitan estar amarrados a un programa y sufuncioacuten es principalmente dantildear la red (ejdesempentildeo) mientras que los virus dantildeanarchivos en computadoras
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
72
Ataques de Seguridad
bull Caballo de Troya Es una programa que seinstala bajo la creencia de que se estainstalando alguna otra cosa Los troyanosson programas muy utilizados parainstalar programas tipo ldquobackdoorsrdquo quepermiten el acceso no autorizado a lacomputadora atacada un ejemplo deprogramas tipo backdoor son losKeyloogers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
73
Ataques de Seguridad
bull DoS Denial of service- Ataques quehacen indisponible un servicio a losusuarios
bull DDoS Son conocidos como DNSBackbone Distributed Denial ofServices ndash Ataques tienen comoblanco los servidores raiacutez DNS por lotanto afectan uno de los pilares delInternet los nombres de los dominios
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
74
Ataques de Seguridad
bull Footprinting Teacutecnica utilizada para reunir informacioacuten acerca de sistemas computacionales y las entidades a las que pertenece algunos ejemplos son
- Domain queries
- Network queries
- Organizational queries
- TCP scans
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
75
Ataques de Seguridad
bull Fingerprinting Tambieacuten es conocidocomo TCPIP stack fingerprinting y esutilizado para determinar que sistemaoperativo utiliza alguacuten blanco en la redExiste dos tipos de fingerprinting
- Pasivo- Activo
NMAP es una herramienta que utilizafingerprinting activo para mapearpuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
76
Ataques de Seguridad
bull Escaneo de puertos El escaneo depuertos se basa en el FingerprintingActivo es decir transmite y recibesentildeales como ICMP TELNET SNMPdesde un blanco determinado en lared esto con el fin de obtenerinformacioacuten de dicho blanco en estecaso informacioacuten acerca de suspuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
77
Ataques de Seguridad
bull Sniffing Para llevar a cabo el sniffing esnecesario contar con un ldquopacket snifferrdquoque puede ser software instalado en unacomputadora o un dispositivoindependiente (appliance) estedispositivo es utilizado para interceptar yregistrar traacutefico que pasa a traveacutes de unared o de un segmento de la misma(Puede ser de una red ethernet owireless)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
78
Ataques de Seguridad
bull Spoofing Los ataques tipo spoofing sonaquellos en los que una persona oprograma logra hacerse pasar por otrafalsificando informacioacuten o utilizando laingenieriacutea algunos ataques tipo spoofingson los siguientes
- Falsificacioacuten de direccioacuten de email
- Falsificacioacuten de ID de llamadas telefoacutenicas
- Falsificacioacuten de sitios de internet (phishing)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
79
Ataques de Seguridad
bull Phishing Es el uso de teacutecnicas deingenieriacutea social con la finalidad deadquirir de manera fraudulentainformacioacuten confidencial comonombres de usuarios contrasentildeasinformacioacuten de tarjetas de creacutedito
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
80
Ataques de Seguridad
bull Ingenieriacutea Social Se refiere a unacoleccioacuten de teacutecnicas utilizadas paramanipular a las personas para querealicen alguna accioacuten o divulgueninformacioacuten confidencial
Algunos ingenieros sociales notablesson
- Kevin Mitnik
- Frank Abagnale
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
Ingenieriacutea Social
Es el conjunto de meacutetodos y praacutecticas usados para obtener informacioacuten de usuarios legiacutetimos y con la informacioacuten obtenida lograr acceso a sistemas protegidos siendo esta praacutectica de uso comuacuten entre piratas informaacuteticos y delincuentes computacionales
Coacutemo me afecta Al no validar las referencias o no seguir el protocolo de seguridad adecuado para divulgar contrasentildeas o cualquier otra informacioacuten sensible podemos ser coacutemplices de un crimen Meacutexico ha acordado con organismos internacionales la homologacioacuten yo adecuacioacuten de coacutedigos penales para que estos delitos sean perseguidos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 81
Ingenieriacutea Social
Coacutemo puedo saber si estoy siendo viacutectima de un ingeniero social Muy simple cuando alguien nos pide alguacuten tipo de informacioacuten privilegiada y esta persona es insistente cuando le requerimos seguir un protocolo para validar su intencioacuten es altamente probable que estemos siendo viacutectimas de un intento de robo de informacioacuten por un ingeniero socialhacker
Coacutemo puedo evitarlo Sencillo si no confiamos en la persona que nos solicita los datos (supongamos un teacutecnico de soporte de nuestro lugar de trabajo) podemos pedirle que nos deje sus datos y comunicarnos con el 10 minutos despueacutes de validar que la peticioacuten es legiacutetima es decir soacutelo sigamos los protocolos que existen en el trabajo y crear los propios en casa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 82
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra los Sistemas que Utilizan Tecnologiacuteas de Informacioacuten
bull Artiacuteculo 6 Acceso indebido
bull Artiacuteculo 7 Sabotaje o dantildeo a sistemas
bull Artiacuteculo 8 Favorecimiento culposo del sabotaje o dantildeo
bull Artiacuteculo 9 Acceso indebido o sabotaje a sistemas protegidos
bull Artiacuteculo 10 Posesioacuten de equipos o prestacioacuten de servicios de sabotaje
bull Artiacuteculo 11 Espionaje informaacutetico
bull Artiacuteculo 12 Falsificacioacuten de documentos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 83
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Propiedad
bull Artiacuteculo 13 Hurto
bull Artiacuteculo 14 Fraude
bull Artiacuteculo 15 Obtencioacuten indebida de bienes o servicios
bull Artiacuteculo 16 Manejo fraudulento de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 17 Apropiacioacuten de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 18 Provisioacuten indebida de bienes o servicios
bull Artiacuteculo 19 Posesioacuten de equipo para falsificaciones
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 84
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Privacidad de las Personas y de las Comunicaciones
bullArtiacuteculo 20 Violacioacuten de la privacidad de la data o informacioacuten de caraacutecter personal
bullArtiacuteculo 21 Violacioacuten de la privacidad de las comunicaciones
bullArtiacuteculo 22 Revelacioacuten indebida de data o informacioacuten de caraacutecter personal
De los Delitos Contra Nintildeos Nintildeas o Adolescentes
bullArtiacuteculo 23 Difusioacuten o exhibicioacuten de material pornograacutefico
bullArtiacuteculo 24 Exhibicioacuten pornograacutefica de nintildeos o adolescentes
De los Delitos Contra el Orden Econoacutemico
bullArtiacuteculo 25 Apropiacioacuten de propiedad intelectual
bullArtiacuteculo 26 Oferta engantildeosa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 85
Plan de Contingencia Continuidad Operacional
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 86
Plan de Contingencia
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 87
ldquoConjunto de Normas y Procedimientos documentadosy comunicados que tienen por objetivo minimizar los riesgos informaacuteticos mas probablesrdquo
InvolucrabullUso de herramientas
bullCumplimiento de Tareas por
parte de personas
Plan de Contingencia
Consta de tres subplanes independientes
bull Plan de Respaldo crear y conservar en un lugar seguro copias de seguridad de la informacioacuten
bull Pla de Emergencia queacute medidas tomar cuando se estaacute materializando una amenaza o cuando acaba de producirse
bull Plan de Recuperacioacuten medidas que se aplicaran cuando se ha producido un desastre El objetivo es evaluar el impacto y regresar lo antes posible
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 88
Plan de Contingencia
En la elaboracioacuten de este plan no se puede dejar por fuera a los miembros de la organizacioacuten el cual debe estar informado y entrenado para actuar en las funciones que le hayan sido encomendadas en caso de producirse una amenaza o impacto
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 89
Continuidad Operacional
Business Continuity Planning (Plan de Continuidad de negocios)
bull Plan Baacutesico
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Coldsite)
bull Plan Intermedio
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan Alto
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan de respuesta y continuidad de negocios alternativo (sin asistencia de sistemas)
bull Stress Testing al Plan
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 90
El Stress Testing
bull Poner a prueba el planbull Revise y evalueacute
bull Respaldosbull Oportunidad integridad y funcionalidadbull Custodia y transporte
bull Cold y Hotsitebull Funcionalidad accesibilidad y compatibilidadbull Actualizacioacuten oportuna (hotsite)
bull Personalbull Roles y funcionesbull Accesibilidad (contactos y comunicaciones)
bull Simulacioacuten de cataacutestrofesbull Sin previo aviso el director encargado del BCP se presenta en el centro de computo
cronometro en mano y baja la cuchilla de electricidad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 91
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de Lehman Brothers
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el WorldTrade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehman se desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del World Trade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehman teniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 92
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de LehmanBrothers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 93
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el World Trade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehmanse desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 94
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del WorldTrade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehmanteniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 95
La Contingencia Manual la Uacuteltima Frontera
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 96
05062015 97
DATOS BAacuteSICOS
Responsable A Nivel Corporativo Responsable(s) A Nivel Regional
PROVEEDOR (ES)
Origen Responsable Insumo (s)
RESULTADOS
Normas y Procedimientos Asociados Fecha uacuteltima revisioacuten Sistemas Aplicaciones Asociadas
Proceso
CALIFICACIOacuteN DE CONTROLES DE ENTRADA
Actividad
RECOMENDACIONES
Procesamiento
Automaacutetico (A)Manual (M)
Frecuencia
Adiestramiento Proceso Sistema N y P Otros
Negocio Area Localidad
Responsable
Nombre CargoNombre Cargo
NOMBRE
ELABORADO POR
CARGO FIRMA
Calidad de Data (B) Buena (R) Regular (M) Mala Oportunidad (AT) A Tiempo (R) Retrasada Revisioacuten Aprobacioacuten (S) Si (N) NoLEYENDA
Calificacioacuten (F) Fuerte (M) Medio (B) Bajo
DescripcioacutenResponsableDescripcioacuten
Tarea
Descripcioacuten
FRECUENCIA DE LA TAREA Diaria (D) Semanal (S) Mensual (M) Trimestral (T) Anual (A) Ocasional (O)
Soportes Recepcioacuten (P) Papel (E) Electroacutenico Archivo (S) Si (N) No Soportes Enviacuteo (S) Si (N) No Backup (S) Si (N) No
Producto (s) Cliente ReceptorControl
de salida
SoportesFrecuencia
Recepcioacuten Backup
DOCUMENTOS SISTEMAS ASOCIADOS A LOS CONTROLES
CALIFICACIOacuteN DE CONTROLES (por parte del Cliente Receptor)
Revisioacuten
Aprobacioacuten
Revisioacuten
AprobacioacutenTipo de control
Procesamiento
Automaacutetico (A)Manual (M)
Control
De EntradaTipo de control
Soportes
Recepcioacuten Archivo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 98
DATOS BAacuteSICOS
TareaActividad
Proceso Responsable del Proceso
Fecha de Elaboracioacuten 2015
Accioacuten (es) Responsable (s)
OBSERVACIONES ELABORADO POR
FIRMA
NOMBRE
Plan de recuperacioacuten y Reactivacioacuten de Finanzas
Recomendaciones Acciones
La Cadena de Valor de una Organizacioacuten de Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 99
ASESORAR EN CONTROLES DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR DELEGACIONES FINANCIERAS
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
CONTROLAR SEGURIDAD SISTEMA
OPERACIONALES ADMINISTRATIVOS Y OTROS
SISTEMAS FINANCIEROS
DESARROLLAR CONTROLES
DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR Y DESARROLLAR PLAN INTEGRAL DE CONTROL ( PIC )
Asesorar en controles de procesos normas y
Procedimientos
Administrar delegaciones financieras
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
Controlar seguridad sistema
operacionales administrativos y otros
sistemas financieros
Desarrollar
controles de
procesos
normas y
procedimientos
Administrar y desarrollar plan integral de control ( PIC )
Esta norma define una poliacutetica de autorizacioacuten geneacuterica la cual puede formularse de la siguiente forma
ldquoLa informacioacuten no puede darse ni puede permitirse el acceso a ella ni se puede permitir que sea inferida ni se puede utilizar ninguacuten recurso por parte de personas o entidades que no estaacuten autorizadas de forma apropiadardquo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 17
bull Determinacioacuten del acceso y uso de los recursos en base a las identidades de los usuarios y recursos
Poliacuteticas Basadas en Identidad
bull El acceso a los recursos se controla a traveacutes de reglas globales impuestas a todos los usuarios por ejemplo utilizando etiquetas de seguridad
Poliacuteticas Basadas en Reglas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 18
bull Autenticacioacuten tanto de entidades como de origen
bull Control de acceso
bull Confidencialidad de los datos
bull Integridad de los datos
bull No repudio
Define cinco categoriacuteas principales de servicios
de seguridad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 19
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 20
Propietariosvaloran
Quieren minimizar
Salvaguardasdefinen
Pueden tener conciencia de
Amenazasexplotan
VulnerabilidadesPermiten o facilitan
Dantildeo
RECURSOSQue pueden tener
Reducen
RIESGO
Fecha __ __ __
Componente Supervisioacuten
Formulario nuacutemero 6 - Mapeo de Riesgos resultado de la evaluacioacuten de Efectividad Eficiencia y Cumplimiento de los Controles
Fecha ________
Entidad evaluada _____________ Proceso _____________________________________Sub Proceso_______________________________________Etapa sub proceso________________________
Elaborado por____________________________________Aprobado Por_________________________________ Pag __ de __
8 500
3 300
0
3
6
9
12
0 3 6 9 12
PR
OB
AB
ILID
AD
IMPACTO
MAPA DE RIESGOS
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 21
Responsabilidad de la Gerencia
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 22
Seguridad Informaacutetica ISOIEC 27001
ldquoLa seguridad informaacutetica consiste en la implantacioacuten de un conjunto de medidas teacutecnicas destinadas a preservar la confidencialidad la integridad y la disponibilidad de la informacioacuten pudiendo ademaacutes abarcar otras propiedades como la autenticidad la responsabilidad la fiabilidad y el no repudiordquo
Es la definicioacuten ofrecida por el estaacutendar para la seguridad de la informacioacuten ISOIEC 27001 aprobado y publicado en octubre de 2005 por la International Organization for Standardization (ISO) y por la comisioacuten International Electrotechnical Commission (IEC)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 23
Estructura Organizacional
Poliacutetica de Seguridad
Organizacioacuten de la Seguridad de la Informacioacuten
Gestioacuten de Activos Control de Acceso
Cumplimiento Conformidad Informacioacuten de gestioacuten de incidentes de seguridad
Seguridad de los recursos humanos
Gestioacuten de continuidad del negocio
Sistemas de Informacioacuten de adquisicioacuten desarrollo y mantenimiento
Comunicacioacuten y gestioacuten de operaciones
Seguridad fiacutesica y ambiental
Los 11 dominios de la ISOIEC 27001bull Poliacutetica de Seguridadbull Organizacioacuten de la seguridad de la
informacioacutenbull Gestioacuten de Activosbull Seguridad de los recursos humanosbull Seguridad fiacutesica y ambientalbull Comunicacioacuten y gestioacuten de
operacionesbull Control de accesobull Sistemas de informacioacuten de
adquisicioacuten desarrollo y mantenimiento
bull Informacioacuten de gestioacuten de incidentes de seguridad
bull Gestioacuten de continuidad del negociobull Cumplimiento Conformidad
Gerencia
Operaciones
Leyenda
Aspectos Gerenciales
Aspectos Teacutecnicos
Aspectos Fiacutesicos
Riesgos Amenazas
VulnerabilidadesGestioacuten de Riesgos en TI
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 25
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 26
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 27
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
DE ATAQUES INTERNOS PARA DANtildeAR DATOS O SISTEMAS FRAUDES ERRORES EN EL MANEJO DE
SISTEMAS
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 28
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 29
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 30
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 31
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Seguridad Informaacutetica a Nivel de Usuarios
bull Los usuarios se acostumbran a usar la tecnologiacutea sin saber como funciona o de los riesgos que pueden correr
bull Son el punto de entrada de muchos de los problemas croacutenicos
bull Son ldquoEl eslaboacuten maacutes deacutebilrdquo en la cadena de seguridad
Usuarios comunes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 32
Seguridad Informaacutetica a Nivel de Usuarios
bull Principio del MENOR PRIVILEGIO POSIBLE
bull EDUCAR AL USUARIO
Dos enfoques para
controlarlos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 33
Seguridad Informaacutetica a Nivel de Usuarios
Principio del MENOR PRIVILEGIO POSIBLE Implica seguridad de
acceso al sistema (usuario password perfiles de usuario de
manera transaccional ndash seguridad por posicioacuten workflow)
bull Reducir la capacidad de accioacuten del usuario sobre los sistemas
bull Objetivo Lograr el menor dantildeo posible en caso de incidentes
Administracioacuten de privilegios
bull Usuarios uacutenicos e intransferibles
bull Procesos de desactivacioacuten de cuentas y activacioacuten del reemplazo (en periacuteodos vacacionales y de reposos)
bull Administracioacuten de claves de acceso
bull Alfanumeacutericas + caracteres especiales + mayuacutesculas minuacutesculas
bull Caducidad
bull Bloqueo por intentos fallidos
bull Prohibicioacuten de palabras y datos de uso comuacuten o asociadas al usuario
bull Reseteo de clave de forma automaacutetica con preguntas de desafiacuteo (pe usando datos encriptados que solo el usuario conoce como fecha de ingreso a la empresa)
bull Perfil de usuario
bull De acuerdo a la actividad y delegacioacuten de autoridad de acuerdo a su posicioacuten y responsabilidades
bull Esquemas de proteccioacuten de datos e informacioacuten (Privado Confidencial y Estrictamente Privado y Confidencial) seguacuten la posicioacuten y actividades (previendo delincuencia comuacuten o DDOO)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 34
Seguridad Informaacutetica a Nivel de Usuarios
EDUCAR AL USUARIO
bull Documentar y publicar todas las normas y procedimientos asociados
bull Generar una cultura de seguridad El usuario ayuda a reforzar y aplicar los mecanismos de seguridad
bull Objetivo Reducir el nuacutemero de incidentes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 35
Adicionales a los que ya
se mostroacute para
usuarios comunes se
debe
bull Seguridad de acceso a las instalaciones (aacuterea de desarrollo y aacuterea de servidores o main frame)
bull Poliacutetica de respaldo de informacioacuten y programas que incluyan backups in situ outside a modo copia espejo e incremental (solo variaciones)
bull Poliacuteticas de sustraccioacuten de datos incluyendo el uso de CDROM y Pendrivers (Wikiliks)
bull Crear ambientes de desarrollo de software aislados de los ambientes de produccioacuten (operaciones de la empresa) y de prueba Crear ambientes de prueba con participacioacuten funcional
bull Crear protocolos de procesos de cambio (implantacioacuten de sistemas actualizacioacuten de software incluidos los sistemas operativos) que incluyan respaldo total de programas y datos a modo espejo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 36
Seguridad Informaacutetica a Nivel de Usuarios
Vulnerabilidad
bull En un sistema informaacutetico lo que queremos proteger son sus activos es decir los recursos que forman parte del sistema y que podemos agrupar enbull - Hardware - Software
bull - Datos - Otros
bull Los mas criacuteticos son los datos el hardware y el software Es decir los datos que estaacuten almacenados en el hardware y que son procesados por las aplicaciones software
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 37
Vulnerabilidad
bull Es la debilidad de cualquier tipo que compromete la seguridad del sistema informaacutetico
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 38
Disentildeobull Debilidad en el disentildeo de protocolos utilizados en las redes
bull Poliacuteticas de seguridad deficientes e inexistentes
Implementacioacuten
bull Errores de programacioacuten
bull Existencia de ldquopuertas traserasrdquo en los sistemas informaacuteticos
bull Descuido de los fabricantes
Uso
bull Mala configuracioacuten de los sistemas informaacuteticos
bull Desconocimiento y falta de sensibilizacioacuten de los usuarios y de los responsables de informaacutetica
bull Disponibilidad de herramientas que facilitan los ataques
bull Limitacioacuten gubernamental de tecnologiacuteas de seguridad
Vulnerabilidades conocidas
bull Firewall
bull Antivirus
bull Malware
bull Antispy
bull Protocolos de encriptacioacuten
bull Firmas digitales
bull Monitoreo de redes (Comunity Manager)
Consisten en ataques
intercepciones de datos y enviacuteo de
informacioacuten usurpando identidad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 39
Vulnerabilidades
bull Ataques contra el flujo de la informacioacuten FLUJO NORMAL
Los mensajes en una red se enviacutean a partir de un emisor a uno o varios receptores
El atacante es un tercer elemento en la realidad existen millones de elementos atacantesintencionales o accidentales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 40
Emisor Receptor
Atacante
bull INTERRUPCIONbull El mensaje no puede llegar a su destino un recurso del sistema es destruido o
temporalmente inutilizado
bull Este es un ataque contra la Disponibilidad
bull Ejemplos Destruccioacuten de una pieza de hardware cortar los medios de comunicacioacuten o deshabilitar los sistemas de administracioacuten de archivos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 41
Vulnerabilidades
Emisor
Atacante
Receptor
Vulnerabilidades
bull INTERCEPCIONbull Una persona computadora o programa sin autorizacioacuten logra el acceso a un
recurso controlado
bull Es un ataque contra la Confidencialidad
bull Ejemplos Escuchas electroacutenicos copias iliacutecitas de programas o datos escalamiento de privilegios
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 42
Emisor
Atacante
Receptor
Vulnerabilidades
bull MODIFICACIONbull La persona sin autorizacioacuten ademaacutes de lograr el acceso modifica el mensaje
bull Este es un ataque contra la Integridad
bull Ejemplos Alterar la informacioacuten que se transmite desde una base de datos modificar los mensajes entre programas para que se comporten diferente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 43
bull FABRICACIONbull Una persona sin autorizacioacuten inserta objetos falsos en el sistemabull Es un ataque contra la Autenticidadbull Ejemplos Suplantacioacuten de identidades robo de sesiones robo de contrasentildeas
robo de direcciones IP etcbull Es muy difiacutecil estar seguro de quieacuten esta al otro lado de la liacutenea
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 44
Vulnerabilidades
Emisor
Atacante
Receptor
iquestQuienes Atacan los Sistemas
Gobiernos Extranjeros
Espiacuteas industriales o poliacuteticos
Criminales
Empleados descontentos y abusos internos
Adolescentes sin nada que hacer
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 45
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 46
Estado del ataque Ejemplo de Acciones
1-Buacutesqueda de Ingreso Correr un scanner de puertos
2-Penetracioacuten Explorar un sistema sin parches de seguridad
3-Elevacioacuten de Privilegios Lograr cuenta de Administrador
5-Enmascaramiento Borrado de rastros del ingreso y ataque
4-Ataque en si mismo Robo de datos destruccioacuten del sitio web etc
INTRUSO
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 47
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 48
Actuacioacuten del Criminal
bull Se requieren talentos especiales
bull El fraude ha crecido gracias a la aparicioacuten de las computadoras
Mitos
bull Dinero
bull Satisfaccioacuten (egocentrismo)
bull Ideologiacutea
bull Psicosis
Motivaciones personales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 49
bull Ambiente de trabajo
bull Prestaciones
bull Nivel de confianza interpersonal
bull Eacutetica ambiental
bull Nivel de stress
bull AMBIENTE DE CONTROL INTERNO
Motivaciones ambientales
Ethical Hacking
Es una intrusioacuten eacutetica es la aplicacioacuten de herramientas de intrusioacuten penetracioacuten robo personificacioacuten y negacioacuten de servicio llevado a cabo por hackers eacuteticos es decir personas con la experiencia y conocimiento suficiente para llevar a cabo estas pruebas en nombre de la organizacioacuten es decir de manera legal y prevista para determinar el nivel de seguridad de una red de equipos o servicios (incluido el aspecto de ingenieriacutea social)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 50
Ethical Hacking
bull al conocer el nivel de seguridad que se tiene en nuestra organizacioacuten es mucho maacutes sencillo no simple el tomar medidas que puedan subsanar estas deficienciasiquestPor queacute es
Importante
bull No al usar las armas que el enemigo usa es maacutes factible que podamos determinar el nivel de riesgo y por tanto la respuesta que debemos dar ante un ataque vieacutendolo como analogiacutea meacutedica es como cuando nos vacunan pues nos inoculan una versioacuten del virus del cual nos quieren hacer inmunes
iquestNo es contraproducente
bull Al contratar un servicio o realizarlo de manera interna estamos confiando en la eacutetica profesional de quien evaluacutea por lo que siacute siempre llevamos un riesgo pero se establece un contrato de buena fe hacieacutendolo suficientemente fiable (asegurando)iquestEs fiable
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 51
Ejemplos de Criacutemenes Electroacutenicos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 52
Ataque en 1986 de alemanes trabajando para la KGB contra sistemas estrateacutegicos de EEUU (Clifford Stoll Cuckooacutes egg)
El gusano Morris que se propagoacute por internet en 1988
causando un problema de DoS La causa fue la interrupcioacuten
causada por un programa escrito por Robert Tappan Morris
414 Gang enviacutea ataques contra los registros meacutedicos del
hospital para enfermos de caacutencer Sloan-Kettering
Ataques de Kevin Mitnick 1989-1996
Penetracioacuten de la red de Microsoft en octubre de 2000
por un cracker que ganoacute acceso a programas en desarrollo
Esparcimiento del Love Letter difundido por Onel Guzmaacuten en
Filipinas
53
DDoS contra Yahoo Amazon y Zdnet
Muacuteltiples problemas por virus desde
entonces
Target (Robo de informacioacuten de clientes
Identidad y datos financieros)
Juegos del Hambre
Ataque a Sony (Cyberterrorismo) y la
Respuesta con el apagoacuten de internet a
Korea del Norte
Carnabank (Europa oriental europa
occidental EEUU Panamaacute)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
Ejemplos de Criacutemenes Electroacutenicos
Algunas Clases de Ataques
Negacioacuten de Servicio (DoS)
Robo de contrasentildeas
Robo de identidad
Ingenieriacutea social
Defacement
FraudePirateriacutea de
softwareDumpster
divingCoacutedigo
MaliciosoIP spoofing
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 54
Algunas Clases de Ataques
EspionajeDestruccioacuten o alteracioacuten de informacioacuten
Uso de scripts de ataque
desarrolladosPhishing
Ciber -Terrorismo
War DialingWar
DrivingWalkingWar Chalking
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 55
El Caso Carbanak 1MMMUS$
La banda delictiva ciberneacutetica CARBANAK roba mil millones de doacutelares de 100 instituciones financieras en todo el mundo Kaspersky Lab la INTERPOL EUROPOL y autoridades de diferentes paiacuteses han unido sus fuerzas para dejar al descubierto el complot delictivo de un robo ciberneacutetico sin precedentes Hasta mil millones de doacutelares americanos fueron robados en cerca de dos antildeos de instituciones financieras en todo el mundo Los expertos informan que la responsabilidad del robo recae en una banda multinacional de ciberdelincuentesde Rusia Ucrania y otras partes de Europa asiacute como de China
La banda CARBANAK responsable del robo ciberneacutetico utilizoacute teacutecnicas extraiacutedas del arsenal de los ataques selectivos El complot marca el inicio de una nueva etapa en la evolucioacuten de la actividad de delincuencia ciberneacutetica donde usuarios maliciosos roban dinero directamente de los bancos y evitan concentrar sus ataques en los usuarios finales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 56
Comunicado de prensa 160215 - Karpersky
5705062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
MALWARE
El malware es un tipo de software que tiene como objetivo infiltrarse o dantildear un ordenador sistema de informacioacuten sin el consentimiento de su propietario
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 58
POPUP
bull Un pop-up es un tipo de ventana web que aparece delante de la ventana de un navegador al visitar una paacutegina web
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 59
VOLVER
ADWARE
bull Un programa de clase adware es cualquier programa que automaacuteticamente muestra publicidad web al usuario durante su instalacioacuten o durante su uso para generar lucro a sus autores
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 60
SPAM
bull Se llama spam correo basura a los mensajes no solicitados no deseados o de remitente no conocido habitualmente de tipo publicitario generalmente enviados
en grandes cantidades que perjudican al receptor
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 61
Bomba Loacutegica
Son programas informaacuteticos que se instala en un ordenador y permanece oculto hasta cumplirse una o maacutes condiciones preprogramadas para en ese momento ejecutar una accioacuten
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 62
volver
VIRUS DE MACROS
bull Es una secuencia de oacuterdenes de teclado y ratoacuten asignadas a una sola tecla Los virus de macros afectan a archivos y plantillas que los contienen hacieacutendose pasar por una macro y no actuaraacuten hasta que el archivo se abra o utilice
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 63
VOLVER
VIRUS RESIDENTES
bull Se colocan automaacuteticamente en la memoria RAM del ordenador De este modo pueden controlar e interceptar todas las operaciones llevadas a cabo por el sistema operativo infectando todos aquellos ficheros yo programas que sean ejecutados abiertos cerrados renombrados copiados etc
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 64
VIRUS DE ENLACE
bull Modifican las direcciones que permiten a nivel interno acceder a cada uno de los archivos existentes y como consecuencia no es posible localizarlos y trabajar con ellos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 65
VOLVER
VIRUS MUTANTES
bull Son virus que mutan es decir x Debido a estas mutaciones cada generacioacuten de virus es diferente a la versioacuten anterior dificultando asiacute su deteccioacuten y eliminacioacuten
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 66
VIRUS DE BOOT
bull Se activan en el momento en el que se arranca el ordenador desde un disco infectado ya sea desde el disco duro o desde una memoria USB
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 67
VOLVER
VIRUS DE PROGRAMA
bull Comuacutenmente infectan archivos con extensiones EXE COM OVL DRV BIN DLL y SYS
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 68
VOLVER
VIRUS DE SOBREESCRITURA
bull Sobre-escriben en el interior de los archivos atacados haciendo que se pierda el contenido de los mismos
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 69
Ataques de Seguridad
bull Spyware Es un software de computadoraque al instalarse intercepta o toma controlparcial de la interaccioacuten de lacomputadora y el usuario esto sin que elmismo se de cuenta Estos programaspueden recolectar diferentes tipos deinformacioacuten de los usuarios asiacute comoinstalar software adicional sin elconsentimiento de los mismos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 70
71
Herramientas de Seguridad
bull Gusano Es un programa de computadora quepuede replicarse a si mismo utiliza la red paraenviar copias de si mismo a otros nodos y lopuede hacer sin la intervencioacuten del usuario
A diferencia de los ldquovirusrdquo los gusanos nonecesitan estar amarrados a un programa y sufuncioacuten es principalmente dantildear la red (ejdesempentildeo) mientras que los virus dantildeanarchivos en computadoras
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
72
Ataques de Seguridad
bull Caballo de Troya Es una programa que seinstala bajo la creencia de que se estainstalando alguna otra cosa Los troyanosson programas muy utilizados parainstalar programas tipo ldquobackdoorsrdquo quepermiten el acceso no autorizado a lacomputadora atacada un ejemplo deprogramas tipo backdoor son losKeyloogers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
73
Ataques de Seguridad
bull DoS Denial of service- Ataques quehacen indisponible un servicio a losusuarios
bull DDoS Son conocidos como DNSBackbone Distributed Denial ofServices ndash Ataques tienen comoblanco los servidores raiacutez DNS por lotanto afectan uno de los pilares delInternet los nombres de los dominios
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
74
Ataques de Seguridad
bull Footprinting Teacutecnica utilizada para reunir informacioacuten acerca de sistemas computacionales y las entidades a las que pertenece algunos ejemplos son
- Domain queries
- Network queries
- Organizational queries
- TCP scans
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
75
Ataques de Seguridad
bull Fingerprinting Tambieacuten es conocidocomo TCPIP stack fingerprinting y esutilizado para determinar que sistemaoperativo utiliza alguacuten blanco en la redExiste dos tipos de fingerprinting
- Pasivo- Activo
NMAP es una herramienta que utilizafingerprinting activo para mapearpuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
76
Ataques de Seguridad
bull Escaneo de puertos El escaneo depuertos se basa en el FingerprintingActivo es decir transmite y recibesentildeales como ICMP TELNET SNMPdesde un blanco determinado en lared esto con el fin de obtenerinformacioacuten de dicho blanco en estecaso informacioacuten acerca de suspuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
77
Ataques de Seguridad
bull Sniffing Para llevar a cabo el sniffing esnecesario contar con un ldquopacket snifferrdquoque puede ser software instalado en unacomputadora o un dispositivoindependiente (appliance) estedispositivo es utilizado para interceptar yregistrar traacutefico que pasa a traveacutes de unared o de un segmento de la misma(Puede ser de una red ethernet owireless)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
78
Ataques de Seguridad
bull Spoofing Los ataques tipo spoofing sonaquellos en los que una persona oprograma logra hacerse pasar por otrafalsificando informacioacuten o utilizando laingenieriacutea algunos ataques tipo spoofingson los siguientes
- Falsificacioacuten de direccioacuten de email
- Falsificacioacuten de ID de llamadas telefoacutenicas
- Falsificacioacuten de sitios de internet (phishing)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
79
Ataques de Seguridad
bull Phishing Es el uso de teacutecnicas deingenieriacutea social con la finalidad deadquirir de manera fraudulentainformacioacuten confidencial comonombres de usuarios contrasentildeasinformacioacuten de tarjetas de creacutedito
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
80
Ataques de Seguridad
bull Ingenieriacutea Social Se refiere a unacoleccioacuten de teacutecnicas utilizadas paramanipular a las personas para querealicen alguna accioacuten o divulgueninformacioacuten confidencial
Algunos ingenieros sociales notablesson
- Kevin Mitnik
- Frank Abagnale
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
Ingenieriacutea Social
Es el conjunto de meacutetodos y praacutecticas usados para obtener informacioacuten de usuarios legiacutetimos y con la informacioacuten obtenida lograr acceso a sistemas protegidos siendo esta praacutectica de uso comuacuten entre piratas informaacuteticos y delincuentes computacionales
Coacutemo me afecta Al no validar las referencias o no seguir el protocolo de seguridad adecuado para divulgar contrasentildeas o cualquier otra informacioacuten sensible podemos ser coacutemplices de un crimen Meacutexico ha acordado con organismos internacionales la homologacioacuten yo adecuacioacuten de coacutedigos penales para que estos delitos sean perseguidos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 81
Ingenieriacutea Social
Coacutemo puedo saber si estoy siendo viacutectima de un ingeniero social Muy simple cuando alguien nos pide alguacuten tipo de informacioacuten privilegiada y esta persona es insistente cuando le requerimos seguir un protocolo para validar su intencioacuten es altamente probable que estemos siendo viacutectimas de un intento de robo de informacioacuten por un ingeniero socialhacker
Coacutemo puedo evitarlo Sencillo si no confiamos en la persona que nos solicita los datos (supongamos un teacutecnico de soporte de nuestro lugar de trabajo) podemos pedirle que nos deje sus datos y comunicarnos con el 10 minutos despueacutes de validar que la peticioacuten es legiacutetima es decir soacutelo sigamos los protocolos que existen en el trabajo y crear los propios en casa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 82
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra los Sistemas que Utilizan Tecnologiacuteas de Informacioacuten
bull Artiacuteculo 6 Acceso indebido
bull Artiacuteculo 7 Sabotaje o dantildeo a sistemas
bull Artiacuteculo 8 Favorecimiento culposo del sabotaje o dantildeo
bull Artiacuteculo 9 Acceso indebido o sabotaje a sistemas protegidos
bull Artiacuteculo 10 Posesioacuten de equipos o prestacioacuten de servicios de sabotaje
bull Artiacuteculo 11 Espionaje informaacutetico
bull Artiacuteculo 12 Falsificacioacuten de documentos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 83
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Propiedad
bull Artiacuteculo 13 Hurto
bull Artiacuteculo 14 Fraude
bull Artiacuteculo 15 Obtencioacuten indebida de bienes o servicios
bull Artiacuteculo 16 Manejo fraudulento de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 17 Apropiacioacuten de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 18 Provisioacuten indebida de bienes o servicios
bull Artiacuteculo 19 Posesioacuten de equipo para falsificaciones
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 84
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Privacidad de las Personas y de las Comunicaciones
bullArtiacuteculo 20 Violacioacuten de la privacidad de la data o informacioacuten de caraacutecter personal
bullArtiacuteculo 21 Violacioacuten de la privacidad de las comunicaciones
bullArtiacuteculo 22 Revelacioacuten indebida de data o informacioacuten de caraacutecter personal
De los Delitos Contra Nintildeos Nintildeas o Adolescentes
bullArtiacuteculo 23 Difusioacuten o exhibicioacuten de material pornograacutefico
bullArtiacuteculo 24 Exhibicioacuten pornograacutefica de nintildeos o adolescentes
De los Delitos Contra el Orden Econoacutemico
bullArtiacuteculo 25 Apropiacioacuten de propiedad intelectual
bullArtiacuteculo 26 Oferta engantildeosa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 85
Plan de Contingencia Continuidad Operacional
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 86
Plan de Contingencia
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 87
ldquoConjunto de Normas y Procedimientos documentadosy comunicados que tienen por objetivo minimizar los riesgos informaacuteticos mas probablesrdquo
InvolucrabullUso de herramientas
bullCumplimiento de Tareas por
parte de personas
Plan de Contingencia
Consta de tres subplanes independientes
bull Plan de Respaldo crear y conservar en un lugar seguro copias de seguridad de la informacioacuten
bull Pla de Emergencia queacute medidas tomar cuando se estaacute materializando una amenaza o cuando acaba de producirse
bull Plan de Recuperacioacuten medidas que se aplicaran cuando se ha producido un desastre El objetivo es evaluar el impacto y regresar lo antes posible
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 88
Plan de Contingencia
En la elaboracioacuten de este plan no se puede dejar por fuera a los miembros de la organizacioacuten el cual debe estar informado y entrenado para actuar en las funciones que le hayan sido encomendadas en caso de producirse una amenaza o impacto
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 89
Continuidad Operacional
Business Continuity Planning (Plan de Continuidad de negocios)
bull Plan Baacutesico
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Coldsite)
bull Plan Intermedio
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan Alto
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan de respuesta y continuidad de negocios alternativo (sin asistencia de sistemas)
bull Stress Testing al Plan
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 90
El Stress Testing
bull Poner a prueba el planbull Revise y evalueacute
bull Respaldosbull Oportunidad integridad y funcionalidadbull Custodia y transporte
bull Cold y Hotsitebull Funcionalidad accesibilidad y compatibilidadbull Actualizacioacuten oportuna (hotsite)
bull Personalbull Roles y funcionesbull Accesibilidad (contactos y comunicaciones)
bull Simulacioacuten de cataacutestrofesbull Sin previo aviso el director encargado del BCP se presenta en el centro de computo
cronometro en mano y baja la cuchilla de electricidad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 91
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de Lehman Brothers
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el WorldTrade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehman se desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del World Trade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehman teniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 92
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de LehmanBrothers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 93
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el World Trade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehmanse desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 94
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del WorldTrade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehmanteniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 95
La Contingencia Manual la Uacuteltima Frontera
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 96
05062015 97
DATOS BAacuteSICOS
Responsable A Nivel Corporativo Responsable(s) A Nivel Regional
PROVEEDOR (ES)
Origen Responsable Insumo (s)
RESULTADOS
Normas y Procedimientos Asociados Fecha uacuteltima revisioacuten Sistemas Aplicaciones Asociadas
Proceso
CALIFICACIOacuteN DE CONTROLES DE ENTRADA
Actividad
RECOMENDACIONES
Procesamiento
Automaacutetico (A)Manual (M)
Frecuencia
Adiestramiento Proceso Sistema N y P Otros
Negocio Area Localidad
Responsable
Nombre CargoNombre Cargo
NOMBRE
ELABORADO POR
CARGO FIRMA
Calidad de Data (B) Buena (R) Regular (M) Mala Oportunidad (AT) A Tiempo (R) Retrasada Revisioacuten Aprobacioacuten (S) Si (N) NoLEYENDA
Calificacioacuten (F) Fuerte (M) Medio (B) Bajo
DescripcioacutenResponsableDescripcioacuten
Tarea
Descripcioacuten
FRECUENCIA DE LA TAREA Diaria (D) Semanal (S) Mensual (M) Trimestral (T) Anual (A) Ocasional (O)
Soportes Recepcioacuten (P) Papel (E) Electroacutenico Archivo (S) Si (N) No Soportes Enviacuteo (S) Si (N) No Backup (S) Si (N) No
Producto (s) Cliente ReceptorControl
de salida
SoportesFrecuencia
Recepcioacuten Backup
DOCUMENTOS SISTEMAS ASOCIADOS A LOS CONTROLES
CALIFICACIOacuteN DE CONTROLES (por parte del Cliente Receptor)
Revisioacuten
Aprobacioacuten
Revisioacuten
AprobacioacutenTipo de control
Procesamiento
Automaacutetico (A)Manual (M)
Control
De EntradaTipo de control
Soportes
Recepcioacuten Archivo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 98
DATOS BAacuteSICOS
TareaActividad
Proceso Responsable del Proceso
Fecha de Elaboracioacuten 2015
Accioacuten (es) Responsable (s)
OBSERVACIONES ELABORADO POR
FIRMA
NOMBRE
Plan de recuperacioacuten y Reactivacioacuten de Finanzas
Recomendaciones Acciones
La Cadena de Valor de una Organizacioacuten de Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 99
ASESORAR EN CONTROLES DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR DELEGACIONES FINANCIERAS
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
CONTROLAR SEGURIDAD SISTEMA
OPERACIONALES ADMINISTRATIVOS Y OTROS
SISTEMAS FINANCIEROS
DESARROLLAR CONTROLES
DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR Y DESARROLLAR PLAN INTEGRAL DE CONTROL ( PIC )
Asesorar en controles de procesos normas y
Procedimientos
Administrar delegaciones financieras
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
Controlar seguridad sistema
operacionales administrativos y otros
sistemas financieros
Desarrollar
controles de
procesos
normas y
procedimientos
Administrar y desarrollar plan integral de control ( PIC )
bull Determinacioacuten del acceso y uso de los recursos en base a las identidades de los usuarios y recursos
Poliacuteticas Basadas en Identidad
bull El acceso a los recursos se controla a traveacutes de reglas globales impuestas a todos los usuarios por ejemplo utilizando etiquetas de seguridad
Poliacuteticas Basadas en Reglas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 18
bull Autenticacioacuten tanto de entidades como de origen
bull Control de acceso
bull Confidencialidad de los datos
bull Integridad de los datos
bull No repudio
Define cinco categoriacuteas principales de servicios
de seguridad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 19
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 20
Propietariosvaloran
Quieren minimizar
Salvaguardasdefinen
Pueden tener conciencia de
Amenazasexplotan
VulnerabilidadesPermiten o facilitan
Dantildeo
RECURSOSQue pueden tener
Reducen
RIESGO
Fecha __ __ __
Componente Supervisioacuten
Formulario nuacutemero 6 - Mapeo de Riesgos resultado de la evaluacioacuten de Efectividad Eficiencia y Cumplimiento de los Controles
Fecha ________
Entidad evaluada _____________ Proceso _____________________________________Sub Proceso_______________________________________Etapa sub proceso________________________
Elaborado por____________________________________Aprobado Por_________________________________ Pag __ de __
8 500
3 300
0
3
6
9
12
0 3 6 9 12
PR
OB
AB
ILID
AD
IMPACTO
MAPA DE RIESGOS
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 21
Responsabilidad de la Gerencia
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 22
Seguridad Informaacutetica ISOIEC 27001
ldquoLa seguridad informaacutetica consiste en la implantacioacuten de un conjunto de medidas teacutecnicas destinadas a preservar la confidencialidad la integridad y la disponibilidad de la informacioacuten pudiendo ademaacutes abarcar otras propiedades como la autenticidad la responsabilidad la fiabilidad y el no repudiordquo
Es la definicioacuten ofrecida por el estaacutendar para la seguridad de la informacioacuten ISOIEC 27001 aprobado y publicado en octubre de 2005 por la International Organization for Standardization (ISO) y por la comisioacuten International Electrotechnical Commission (IEC)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 23
Estructura Organizacional
Poliacutetica de Seguridad
Organizacioacuten de la Seguridad de la Informacioacuten
Gestioacuten de Activos Control de Acceso
Cumplimiento Conformidad Informacioacuten de gestioacuten de incidentes de seguridad
Seguridad de los recursos humanos
Gestioacuten de continuidad del negocio
Sistemas de Informacioacuten de adquisicioacuten desarrollo y mantenimiento
Comunicacioacuten y gestioacuten de operaciones
Seguridad fiacutesica y ambiental
Los 11 dominios de la ISOIEC 27001bull Poliacutetica de Seguridadbull Organizacioacuten de la seguridad de la
informacioacutenbull Gestioacuten de Activosbull Seguridad de los recursos humanosbull Seguridad fiacutesica y ambientalbull Comunicacioacuten y gestioacuten de
operacionesbull Control de accesobull Sistemas de informacioacuten de
adquisicioacuten desarrollo y mantenimiento
bull Informacioacuten de gestioacuten de incidentes de seguridad
bull Gestioacuten de continuidad del negociobull Cumplimiento Conformidad
Gerencia
Operaciones
Leyenda
Aspectos Gerenciales
Aspectos Teacutecnicos
Aspectos Fiacutesicos
Riesgos Amenazas
VulnerabilidadesGestioacuten de Riesgos en TI
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 25
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 26
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 27
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
DE ATAQUES INTERNOS PARA DANtildeAR DATOS O SISTEMAS FRAUDES ERRORES EN EL MANEJO DE
SISTEMAS
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 28
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 29
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 30
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 31
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Seguridad Informaacutetica a Nivel de Usuarios
bull Los usuarios se acostumbran a usar la tecnologiacutea sin saber como funciona o de los riesgos que pueden correr
bull Son el punto de entrada de muchos de los problemas croacutenicos
bull Son ldquoEl eslaboacuten maacutes deacutebilrdquo en la cadena de seguridad
Usuarios comunes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 32
Seguridad Informaacutetica a Nivel de Usuarios
bull Principio del MENOR PRIVILEGIO POSIBLE
bull EDUCAR AL USUARIO
Dos enfoques para
controlarlos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 33
Seguridad Informaacutetica a Nivel de Usuarios
Principio del MENOR PRIVILEGIO POSIBLE Implica seguridad de
acceso al sistema (usuario password perfiles de usuario de
manera transaccional ndash seguridad por posicioacuten workflow)
bull Reducir la capacidad de accioacuten del usuario sobre los sistemas
bull Objetivo Lograr el menor dantildeo posible en caso de incidentes
Administracioacuten de privilegios
bull Usuarios uacutenicos e intransferibles
bull Procesos de desactivacioacuten de cuentas y activacioacuten del reemplazo (en periacuteodos vacacionales y de reposos)
bull Administracioacuten de claves de acceso
bull Alfanumeacutericas + caracteres especiales + mayuacutesculas minuacutesculas
bull Caducidad
bull Bloqueo por intentos fallidos
bull Prohibicioacuten de palabras y datos de uso comuacuten o asociadas al usuario
bull Reseteo de clave de forma automaacutetica con preguntas de desafiacuteo (pe usando datos encriptados que solo el usuario conoce como fecha de ingreso a la empresa)
bull Perfil de usuario
bull De acuerdo a la actividad y delegacioacuten de autoridad de acuerdo a su posicioacuten y responsabilidades
bull Esquemas de proteccioacuten de datos e informacioacuten (Privado Confidencial y Estrictamente Privado y Confidencial) seguacuten la posicioacuten y actividades (previendo delincuencia comuacuten o DDOO)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 34
Seguridad Informaacutetica a Nivel de Usuarios
EDUCAR AL USUARIO
bull Documentar y publicar todas las normas y procedimientos asociados
bull Generar una cultura de seguridad El usuario ayuda a reforzar y aplicar los mecanismos de seguridad
bull Objetivo Reducir el nuacutemero de incidentes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 35
Adicionales a los que ya
se mostroacute para
usuarios comunes se
debe
bull Seguridad de acceso a las instalaciones (aacuterea de desarrollo y aacuterea de servidores o main frame)
bull Poliacutetica de respaldo de informacioacuten y programas que incluyan backups in situ outside a modo copia espejo e incremental (solo variaciones)
bull Poliacuteticas de sustraccioacuten de datos incluyendo el uso de CDROM y Pendrivers (Wikiliks)
bull Crear ambientes de desarrollo de software aislados de los ambientes de produccioacuten (operaciones de la empresa) y de prueba Crear ambientes de prueba con participacioacuten funcional
bull Crear protocolos de procesos de cambio (implantacioacuten de sistemas actualizacioacuten de software incluidos los sistemas operativos) que incluyan respaldo total de programas y datos a modo espejo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 36
Seguridad Informaacutetica a Nivel de Usuarios
Vulnerabilidad
bull En un sistema informaacutetico lo que queremos proteger son sus activos es decir los recursos que forman parte del sistema y que podemos agrupar enbull - Hardware - Software
bull - Datos - Otros
bull Los mas criacuteticos son los datos el hardware y el software Es decir los datos que estaacuten almacenados en el hardware y que son procesados por las aplicaciones software
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 37
Vulnerabilidad
bull Es la debilidad de cualquier tipo que compromete la seguridad del sistema informaacutetico
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 38
Disentildeobull Debilidad en el disentildeo de protocolos utilizados en las redes
bull Poliacuteticas de seguridad deficientes e inexistentes
Implementacioacuten
bull Errores de programacioacuten
bull Existencia de ldquopuertas traserasrdquo en los sistemas informaacuteticos
bull Descuido de los fabricantes
Uso
bull Mala configuracioacuten de los sistemas informaacuteticos
bull Desconocimiento y falta de sensibilizacioacuten de los usuarios y de los responsables de informaacutetica
bull Disponibilidad de herramientas que facilitan los ataques
bull Limitacioacuten gubernamental de tecnologiacuteas de seguridad
Vulnerabilidades conocidas
bull Firewall
bull Antivirus
bull Malware
bull Antispy
bull Protocolos de encriptacioacuten
bull Firmas digitales
bull Monitoreo de redes (Comunity Manager)
Consisten en ataques
intercepciones de datos y enviacuteo de
informacioacuten usurpando identidad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 39
Vulnerabilidades
bull Ataques contra el flujo de la informacioacuten FLUJO NORMAL
Los mensajes en una red se enviacutean a partir de un emisor a uno o varios receptores
El atacante es un tercer elemento en la realidad existen millones de elementos atacantesintencionales o accidentales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 40
Emisor Receptor
Atacante
bull INTERRUPCIONbull El mensaje no puede llegar a su destino un recurso del sistema es destruido o
temporalmente inutilizado
bull Este es un ataque contra la Disponibilidad
bull Ejemplos Destruccioacuten de una pieza de hardware cortar los medios de comunicacioacuten o deshabilitar los sistemas de administracioacuten de archivos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 41
Vulnerabilidades
Emisor
Atacante
Receptor
Vulnerabilidades
bull INTERCEPCIONbull Una persona computadora o programa sin autorizacioacuten logra el acceso a un
recurso controlado
bull Es un ataque contra la Confidencialidad
bull Ejemplos Escuchas electroacutenicos copias iliacutecitas de programas o datos escalamiento de privilegios
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 42
Emisor
Atacante
Receptor
Vulnerabilidades
bull MODIFICACIONbull La persona sin autorizacioacuten ademaacutes de lograr el acceso modifica el mensaje
bull Este es un ataque contra la Integridad
bull Ejemplos Alterar la informacioacuten que se transmite desde una base de datos modificar los mensajes entre programas para que se comporten diferente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 43
bull FABRICACIONbull Una persona sin autorizacioacuten inserta objetos falsos en el sistemabull Es un ataque contra la Autenticidadbull Ejemplos Suplantacioacuten de identidades robo de sesiones robo de contrasentildeas
robo de direcciones IP etcbull Es muy difiacutecil estar seguro de quieacuten esta al otro lado de la liacutenea
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 44
Vulnerabilidades
Emisor
Atacante
Receptor
iquestQuienes Atacan los Sistemas
Gobiernos Extranjeros
Espiacuteas industriales o poliacuteticos
Criminales
Empleados descontentos y abusos internos
Adolescentes sin nada que hacer
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 45
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 46
Estado del ataque Ejemplo de Acciones
1-Buacutesqueda de Ingreso Correr un scanner de puertos
2-Penetracioacuten Explorar un sistema sin parches de seguridad
3-Elevacioacuten de Privilegios Lograr cuenta de Administrador
5-Enmascaramiento Borrado de rastros del ingreso y ataque
4-Ataque en si mismo Robo de datos destruccioacuten del sitio web etc
INTRUSO
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 47
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 48
Actuacioacuten del Criminal
bull Se requieren talentos especiales
bull El fraude ha crecido gracias a la aparicioacuten de las computadoras
Mitos
bull Dinero
bull Satisfaccioacuten (egocentrismo)
bull Ideologiacutea
bull Psicosis
Motivaciones personales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 49
bull Ambiente de trabajo
bull Prestaciones
bull Nivel de confianza interpersonal
bull Eacutetica ambiental
bull Nivel de stress
bull AMBIENTE DE CONTROL INTERNO
Motivaciones ambientales
Ethical Hacking
Es una intrusioacuten eacutetica es la aplicacioacuten de herramientas de intrusioacuten penetracioacuten robo personificacioacuten y negacioacuten de servicio llevado a cabo por hackers eacuteticos es decir personas con la experiencia y conocimiento suficiente para llevar a cabo estas pruebas en nombre de la organizacioacuten es decir de manera legal y prevista para determinar el nivel de seguridad de una red de equipos o servicios (incluido el aspecto de ingenieriacutea social)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 50
Ethical Hacking
bull al conocer el nivel de seguridad que se tiene en nuestra organizacioacuten es mucho maacutes sencillo no simple el tomar medidas que puedan subsanar estas deficienciasiquestPor queacute es
Importante
bull No al usar las armas que el enemigo usa es maacutes factible que podamos determinar el nivel de riesgo y por tanto la respuesta que debemos dar ante un ataque vieacutendolo como analogiacutea meacutedica es como cuando nos vacunan pues nos inoculan una versioacuten del virus del cual nos quieren hacer inmunes
iquestNo es contraproducente
bull Al contratar un servicio o realizarlo de manera interna estamos confiando en la eacutetica profesional de quien evaluacutea por lo que siacute siempre llevamos un riesgo pero se establece un contrato de buena fe hacieacutendolo suficientemente fiable (asegurando)iquestEs fiable
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 51
Ejemplos de Criacutemenes Electroacutenicos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 52
Ataque en 1986 de alemanes trabajando para la KGB contra sistemas estrateacutegicos de EEUU (Clifford Stoll Cuckooacutes egg)
El gusano Morris que se propagoacute por internet en 1988
causando un problema de DoS La causa fue la interrupcioacuten
causada por un programa escrito por Robert Tappan Morris
414 Gang enviacutea ataques contra los registros meacutedicos del
hospital para enfermos de caacutencer Sloan-Kettering
Ataques de Kevin Mitnick 1989-1996
Penetracioacuten de la red de Microsoft en octubre de 2000
por un cracker que ganoacute acceso a programas en desarrollo
Esparcimiento del Love Letter difundido por Onel Guzmaacuten en
Filipinas
53
DDoS contra Yahoo Amazon y Zdnet
Muacuteltiples problemas por virus desde
entonces
Target (Robo de informacioacuten de clientes
Identidad y datos financieros)
Juegos del Hambre
Ataque a Sony (Cyberterrorismo) y la
Respuesta con el apagoacuten de internet a
Korea del Norte
Carnabank (Europa oriental europa
occidental EEUU Panamaacute)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
Ejemplos de Criacutemenes Electroacutenicos
Algunas Clases de Ataques
Negacioacuten de Servicio (DoS)
Robo de contrasentildeas
Robo de identidad
Ingenieriacutea social
Defacement
FraudePirateriacutea de
softwareDumpster
divingCoacutedigo
MaliciosoIP spoofing
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 54
Algunas Clases de Ataques
EspionajeDestruccioacuten o alteracioacuten de informacioacuten
Uso de scripts de ataque
desarrolladosPhishing
Ciber -Terrorismo
War DialingWar
DrivingWalkingWar Chalking
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 55
El Caso Carbanak 1MMMUS$
La banda delictiva ciberneacutetica CARBANAK roba mil millones de doacutelares de 100 instituciones financieras en todo el mundo Kaspersky Lab la INTERPOL EUROPOL y autoridades de diferentes paiacuteses han unido sus fuerzas para dejar al descubierto el complot delictivo de un robo ciberneacutetico sin precedentes Hasta mil millones de doacutelares americanos fueron robados en cerca de dos antildeos de instituciones financieras en todo el mundo Los expertos informan que la responsabilidad del robo recae en una banda multinacional de ciberdelincuentesde Rusia Ucrania y otras partes de Europa asiacute como de China
La banda CARBANAK responsable del robo ciberneacutetico utilizoacute teacutecnicas extraiacutedas del arsenal de los ataques selectivos El complot marca el inicio de una nueva etapa en la evolucioacuten de la actividad de delincuencia ciberneacutetica donde usuarios maliciosos roban dinero directamente de los bancos y evitan concentrar sus ataques en los usuarios finales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 56
Comunicado de prensa 160215 - Karpersky
5705062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
MALWARE
El malware es un tipo de software que tiene como objetivo infiltrarse o dantildear un ordenador sistema de informacioacuten sin el consentimiento de su propietario
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 58
POPUP
bull Un pop-up es un tipo de ventana web que aparece delante de la ventana de un navegador al visitar una paacutegina web
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 59
VOLVER
ADWARE
bull Un programa de clase adware es cualquier programa que automaacuteticamente muestra publicidad web al usuario durante su instalacioacuten o durante su uso para generar lucro a sus autores
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 60
SPAM
bull Se llama spam correo basura a los mensajes no solicitados no deseados o de remitente no conocido habitualmente de tipo publicitario generalmente enviados
en grandes cantidades que perjudican al receptor
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 61
Bomba Loacutegica
Son programas informaacuteticos que se instala en un ordenador y permanece oculto hasta cumplirse una o maacutes condiciones preprogramadas para en ese momento ejecutar una accioacuten
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 62
volver
VIRUS DE MACROS
bull Es una secuencia de oacuterdenes de teclado y ratoacuten asignadas a una sola tecla Los virus de macros afectan a archivos y plantillas que los contienen hacieacutendose pasar por una macro y no actuaraacuten hasta que el archivo se abra o utilice
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 63
VOLVER
VIRUS RESIDENTES
bull Se colocan automaacuteticamente en la memoria RAM del ordenador De este modo pueden controlar e interceptar todas las operaciones llevadas a cabo por el sistema operativo infectando todos aquellos ficheros yo programas que sean ejecutados abiertos cerrados renombrados copiados etc
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 64
VIRUS DE ENLACE
bull Modifican las direcciones que permiten a nivel interno acceder a cada uno de los archivos existentes y como consecuencia no es posible localizarlos y trabajar con ellos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 65
VOLVER
VIRUS MUTANTES
bull Son virus que mutan es decir x Debido a estas mutaciones cada generacioacuten de virus es diferente a la versioacuten anterior dificultando asiacute su deteccioacuten y eliminacioacuten
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 66
VIRUS DE BOOT
bull Se activan en el momento en el que se arranca el ordenador desde un disco infectado ya sea desde el disco duro o desde una memoria USB
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 67
VOLVER
VIRUS DE PROGRAMA
bull Comuacutenmente infectan archivos con extensiones EXE COM OVL DRV BIN DLL y SYS
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 68
VOLVER
VIRUS DE SOBREESCRITURA
bull Sobre-escriben en el interior de los archivos atacados haciendo que se pierda el contenido de los mismos
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 69
Ataques de Seguridad
bull Spyware Es un software de computadoraque al instalarse intercepta o toma controlparcial de la interaccioacuten de lacomputadora y el usuario esto sin que elmismo se de cuenta Estos programaspueden recolectar diferentes tipos deinformacioacuten de los usuarios asiacute comoinstalar software adicional sin elconsentimiento de los mismos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 70
71
Herramientas de Seguridad
bull Gusano Es un programa de computadora quepuede replicarse a si mismo utiliza la red paraenviar copias de si mismo a otros nodos y lopuede hacer sin la intervencioacuten del usuario
A diferencia de los ldquovirusrdquo los gusanos nonecesitan estar amarrados a un programa y sufuncioacuten es principalmente dantildear la red (ejdesempentildeo) mientras que los virus dantildeanarchivos en computadoras
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
72
Ataques de Seguridad
bull Caballo de Troya Es una programa que seinstala bajo la creencia de que se estainstalando alguna otra cosa Los troyanosson programas muy utilizados parainstalar programas tipo ldquobackdoorsrdquo quepermiten el acceso no autorizado a lacomputadora atacada un ejemplo deprogramas tipo backdoor son losKeyloogers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
73
Ataques de Seguridad
bull DoS Denial of service- Ataques quehacen indisponible un servicio a losusuarios
bull DDoS Son conocidos como DNSBackbone Distributed Denial ofServices ndash Ataques tienen comoblanco los servidores raiacutez DNS por lotanto afectan uno de los pilares delInternet los nombres de los dominios
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
74
Ataques de Seguridad
bull Footprinting Teacutecnica utilizada para reunir informacioacuten acerca de sistemas computacionales y las entidades a las que pertenece algunos ejemplos son
- Domain queries
- Network queries
- Organizational queries
- TCP scans
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
75
Ataques de Seguridad
bull Fingerprinting Tambieacuten es conocidocomo TCPIP stack fingerprinting y esutilizado para determinar que sistemaoperativo utiliza alguacuten blanco en la redExiste dos tipos de fingerprinting
- Pasivo- Activo
NMAP es una herramienta que utilizafingerprinting activo para mapearpuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
76
Ataques de Seguridad
bull Escaneo de puertos El escaneo depuertos se basa en el FingerprintingActivo es decir transmite y recibesentildeales como ICMP TELNET SNMPdesde un blanco determinado en lared esto con el fin de obtenerinformacioacuten de dicho blanco en estecaso informacioacuten acerca de suspuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
77
Ataques de Seguridad
bull Sniffing Para llevar a cabo el sniffing esnecesario contar con un ldquopacket snifferrdquoque puede ser software instalado en unacomputadora o un dispositivoindependiente (appliance) estedispositivo es utilizado para interceptar yregistrar traacutefico que pasa a traveacutes de unared o de un segmento de la misma(Puede ser de una red ethernet owireless)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
78
Ataques de Seguridad
bull Spoofing Los ataques tipo spoofing sonaquellos en los que una persona oprograma logra hacerse pasar por otrafalsificando informacioacuten o utilizando laingenieriacutea algunos ataques tipo spoofingson los siguientes
- Falsificacioacuten de direccioacuten de email
- Falsificacioacuten de ID de llamadas telefoacutenicas
- Falsificacioacuten de sitios de internet (phishing)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
79
Ataques de Seguridad
bull Phishing Es el uso de teacutecnicas deingenieriacutea social con la finalidad deadquirir de manera fraudulentainformacioacuten confidencial comonombres de usuarios contrasentildeasinformacioacuten de tarjetas de creacutedito
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
80
Ataques de Seguridad
bull Ingenieriacutea Social Se refiere a unacoleccioacuten de teacutecnicas utilizadas paramanipular a las personas para querealicen alguna accioacuten o divulgueninformacioacuten confidencial
Algunos ingenieros sociales notablesson
- Kevin Mitnik
- Frank Abagnale
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
Ingenieriacutea Social
Es el conjunto de meacutetodos y praacutecticas usados para obtener informacioacuten de usuarios legiacutetimos y con la informacioacuten obtenida lograr acceso a sistemas protegidos siendo esta praacutectica de uso comuacuten entre piratas informaacuteticos y delincuentes computacionales
Coacutemo me afecta Al no validar las referencias o no seguir el protocolo de seguridad adecuado para divulgar contrasentildeas o cualquier otra informacioacuten sensible podemos ser coacutemplices de un crimen Meacutexico ha acordado con organismos internacionales la homologacioacuten yo adecuacioacuten de coacutedigos penales para que estos delitos sean perseguidos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 81
Ingenieriacutea Social
Coacutemo puedo saber si estoy siendo viacutectima de un ingeniero social Muy simple cuando alguien nos pide alguacuten tipo de informacioacuten privilegiada y esta persona es insistente cuando le requerimos seguir un protocolo para validar su intencioacuten es altamente probable que estemos siendo viacutectimas de un intento de robo de informacioacuten por un ingeniero socialhacker
Coacutemo puedo evitarlo Sencillo si no confiamos en la persona que nos solicita los datos (supongamos un teacutecnico de soporte de nuestro lugar de trabajo) podemos pedirle que nos deje sus datos y comunicarnos con el 10 minutos despueacutes de validar que la peticioacuten es legiacutetima es decir soacutelo sigamos los protocolos que existen en el trabajo y crear los propios en casa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 82
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra los Sistemas que Utilizan Tecnologiacuteas de Informacioacuten
bull Artiacuteculo 6 Acceso indebido
bull Artiacuteculo 7 Sabotaje o dantildeo a sistemas
bull Artiacuteculo 8 Favorecimiento culposo del sabotaje o dantildeo
bull Artiacuteculo 9 Acceso indebido o sabotaje a sistemas protegidos
bull Artiacuteculo 10 Posesioacuten de equipos o prestacioacuten de servicios de sabotaje
bull Artiacuteculo 11 Espionaje informaacutetico
bull Artiacuteculo 12 Falsificacioacuten de documentos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 83
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Propiedad
bull Artiacuteculo 13 Hurto
bull Artiacuteculo 14 Fraude
bull Artiacuteculo 15 Obtencioacuten indebida de bienes o servicios
bull Artiacuteculo 16 Manejo fraudulento de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 17 Apropiacioacuten de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 18 Provisioacuten indebida de bienes o servicios
bull Artiacuteculo 19 Posesioacuten de equipo para falsificaciones
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 84
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Privacidad de las Personas y de las Comunicaciones
bullArtiacuteculo 20 Violacioacuten de la privacidad de la data o informacioacuten de caraacutecter personal
bullArtiacuteculo 21 Violacioacuten de la privacidad de las comunicaciones
bullArtiacuteculo 22 Revelacioacuten indebida de data o informacioacuten de caraacutecter personal
De los Delitos Contra Nintildeos Nintildeas o Adolescentes
bullArtiacuteculo 23 Difusioacuten o exhibicioacuten de material pornograacutefico
bullArtiacuteculo 24 Exhibicioacuten pornograacutefica de nintildeos o adolescentes
De los Delitos Contra el Orden Econoacutemico
bullArtiacuteculo 25 Apropiacioacuten de propiedad intelectual
bullArtiacuteculo 26 Oferta engantildeosa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 85
Plan de Contingencia Continuidad Operacional
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 86
Plan de Contingencia
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 87
ldquoConjunto de Normas y Procedimientos documentadosy comunicados que tienen por objetivo minimizar los riesgos informaacuteticos mas probablesrdquo
InvolucrabullUso de herramientas
bullCumplimiento de Tareas por
parte de personas
Plan de Contingencia
Consta de tres subplanes independientes
bull Plan de Respaldo crear y conservar en un lugar seguro copias de seguridad de la informacioacuten
bull Pla de Emergencia queacute medidas tomar cuando se estaacute materializando una amenaza o cuando acaba de producirse
bull Plan de Recuperacioacuten medidas que se aplicaran cuando se ha producido un desastre El objetivo es evaluar el impacto y regresar lo antes posible
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 88
Plan de Contingencia
En la elaboracioacuten de este plan no se puede dejar por fuera a los miembros de la organizacioacuten el cual debe estar informado y entrenado para actuar en las funciones que le hayan sido encomendadas en caso de producirse una amenaza o impacto
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 89
Continuidad Operacional
Business Continuity Planning (Plan de Continuidad de negocios)
bull Plan Baacutesico
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Coldsite)
bull Plan Intermedio
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan Alto
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan de respuesta y continuidad de negocios alternativo (sin asistencia de sistemas)
bull Stress Testing al Plan
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 90
El Stress Testing
bull Poner a prueba el planbull Revise y evalueacute
bull Respaldosbull Oportunidad integridad y funcionalidadbull Custodia y transporte
bull Cold y Hotsitebull Funcionalidad accesibilidad y compatibilidadbull Actualizacioacuten oportuna (hotsite)
bull Personalbull Roles y funcionesbull Accesibilidad (contactos y comunicaciones)
bull Simulacioacuten de cataacutestrofesbull Sin previo aviso el director encargado del BCP se presenta en el centro de computo
cronometro en mano y baja la cuchilla de electricidad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 91
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de Lehman Brothers
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el WorldTrade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehman se desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del World Trade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehman teniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 92
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de LehmanBrothers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 93
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el World Trade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehmanse desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 94
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del WorldTrade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehmanteniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 95
La Contingencia Manual la Uacuteltima Frontera
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 96
05062015 97
DATOS BAacuteSICOS
Responsable A Nivel Corporativo Responsable(s) A Nivel Regional
PROVEEDOR (ES)
Origen Responsable Insumo (s)
RESULTADOS
Normas y Procedimientos Asociados Fecha uacuteltima revisioacuten Sistemas Aplicaciones Asociadas
Proceso
CALIFICACIOacuteN DE CONTROLES DE ENTRADA
Actividad
RECOMENDACIONES
Procesamiento
Automaacutetico (A)Manual (M)
Frecuencia
Adiestramiento Proceso Sistema N y P Otros
Negocio Area Localidad
Responsable
Nombre CargoNombre Cargo
NOMBRE
ELABORADO POR
CARGO FIRMA
Calidad de Data (B) Buena (R) Regular (M) Mala Oportunidad (AT) A Tiempo (R) Retrasada Revisioacuten Aprobacioacuten (S) Si (N) NoLEYENDA
Calificacioacuten (F) Fuerte (M) Medio (B) Bajo
DescripcioacutenResponsableDescripcioacuten
Tarea
Descripcioacuten
FRECUENCIA DE LA TAREA Diaria (D) Semanal (S) Mensual (M) Trimestral (T) Anual (A) Ocasional (O)
Soportes Recepcioacuten (P) Papel (E) Electroacutenico Archivo (S) Si (N) No Soportes Enviacuteo (S) Si (N) No Backup (S) Si (N) No
Producto (s) Cliente ReceptorControl
de salida
SoportesFrecuencia
Recepcioacuten Backup
DOCUMENTOS SISTEMAS ASOCIADOS A LOS CONTROLES
CALIFICACIOacuteN DE CONTROLES (por parte del Cliente Receptor)
Revisioacuten
Aprobacioacuten
Revisioacuten
AprobacioacutenTipo de control
Procesamiento
Automaacutetico (A)Manual (M)
Control
De EntradaTipo de control
Soportes
Recepcioacuten Archivo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 98
DATOS BAacuteSICOS
TareaActividad
Proceso Responsable del Proceso
Fecha de Elaboracioacuten 2015
Accioacuten (es) Responsable (s)
OBSERVACIONES ELABORADO POR
FIRMA
NOMBRE
Plan de recuperacioacuten y Reactivacioacuten de Finanzas
Recomendaciones Acciones
La Cadena de Valor de una Organizacioacuten de Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 99
ASESORAR EN CONTROLES DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR DELEGACIONES FINANCIERAS
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
CONTROLAR SEGURIDAD SISTEMA
OPERACIONALES ADMINISTRATIVOS Y OTROS
SISTEMAS FINANCIEROS
DESARROLLAR CONTROLES
DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR Y DESARROLLAR PLAN INTEGRAL DE CONTROL ( PIC )
Asesorar en controles de procesos normas y
Procedimientos
Administrar delegaciones financieras
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
Controlar seguridad sistema
operacionales administrativos y otros
sistemas financieros
Desarrollar
controles de
procesos
normas y
procedimientos
Administrar y desarrollar plan integral de control ( PIC )
bull Autenticacioacuten tanto de entidades como de origen
bull Control de acceso
bull Confidencialidad de los datos
bull Integridad de los datos
bull No repudio
Define cinco categoriacuteas principales de servicios
de seguridad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 19
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 20
Propietariosvaloran
Quieren minimizar
Salvaguardasdefinen
Pueden tener conciencia de
Amenazasexplotan
VulnerabilidadesPermiten o facilitan
Dantildeo
RECURSOSQue pueden tener
Reducen
RIESGO
Fecha __ __ __
Componente Supervisioacuten
Formulario nuacutemero 6 - Mapeo de Riesgos resultado de la evaluacioacuten de Efectividad Eficiencia y Cumplimiento de los Controles
Fecha ________
Entidad evaluada _____________ Proceso _____________________________________Sub Proceso_______________________________________Etapa sub proceso________________________
Elaborado por____________________________________Aprobado Por_________________________________ Pag __ de __
8 500
3 300
0
3
6
9
12
0 3 6 9 12
PR
OB
AB
ILID
AD
IMPACTO
MAPA DE RIESGOS
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 21
Responsabilidad de la Gerencia
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 22
Seguridad Informaacutetica ISOIEC 27001
ldquoLa seguridad informaacutetica consiste en la implantacioacuten de un conjunto de medidas teacutecnicas destinadas a preservar la confidencialidad la integridad y la disponibilidad de la informacioacuten pudiendo ademaacutes abarcar otras propiedades como la autenticidad la responsabilidad la fiabilidad y el no repudiordquo
Es la definicioacuten ofrecida por el estaacutendar para la seguridad de la informacioacuten ISOIEC 27001 aprobado y publicado en octubre de 2005 por la International Organization for Standardization (ISO) y por la comisioacuten International Electrotechnical Commission (IEC)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 23
Estructura Organizacional
Poliacutetica de Seguridad
Organizacioacuten de la Seguridad de la Informacioacuten
Gestioacuten de Activos Control de Acceso
Cumplimiento Conformidad Informacioacuten de gestioacuten de incidentes de seguridad
Seguridad de los recursos humanos
Gestioacuten de continuidad del negocio
Sistemas de Informacioacuten de adquisicioacuten desarrollo y mantenimiento
Comunicacioacuten y gestioacuten de operaciones
Seguridad fiacutesica y ambiental
Los 11 dominios de la ISOIEC 27001bull Poliacutetica de Seguridadbull Organizacioacuten de la seguridad de la
informacioacutenbull Gestioacuten de Activosbull Seguridad de los recursos humanosbull Seguridad fiacutesica y ambientalbull Comunicacioacuten y gestioacuten de
operacionesbull Control de accesobull Sistemas de informacioacuten de
adquisicioacuten desarrollo y mantenimiento
bull Informacioacuten de gestioacuten de incidentes de seguridad
bull Gestioacuten de continuidad del negociobull Cumplimiento Conformidad
Gerencia
Operaciones
Leyenda
Aspectos Gerenciales
Aspectos Teacutecnicos
Aspectos Fiacutesicos
Riesgos Amenazas
VulnerabilidadesGestioacuten de Riesgos en TI
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 25
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 26
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 27
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
DE ATAQUES INTERNOS PARA DANtildeAR DATOS O SISTEMAS FRAUDES ERRORES EN EL MANEJO DE
SISTEMAS
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 28
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 29
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 30
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 31
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Seguridad Informaacutetica a Nivel de Usuarios
bull Los usuarios se acostumbran a usar la tecnologiacutea sin saber como funciona o de los riesgos que pueden correr
bull Son el punto de entrada de muchos de los problemas croacutenicos
bull Son ldquoEl eslaboacuten maacutes deacutebilrdquo en la cadena de seguridad
Usuarios comunes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 32
Seguridad Informaacutetica a Nivel de Usuarios
bull Principio del MENOR PRIVILEGIO POSIBLE
bull EDUCAR AL USUARIO
Dos enfoques para
controlarlos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 33
Seguridad Informaacutetica a Nivel de Usuarios
Principio del MENOR PRIVILEGIO POSIBLE Implica seguridad de
acceso al sistema (usuario password perfiles de usuario de
manera transaccional ndash seguridad por posicioacuten workflow)
bull Reducir la capacidad de accioacuten del usuario sobre los sistemas
bull Objetivo Lograr el menor dantildeo posible en caso de incidentes
Administracioacuten de privilegios
bull Usuarios uacutenicos e intransferibles
bull Procesos de desactivacioacuten de cuentas y activacioacuten del reemplazo (en periacuteodos vacacionales y de reposos)
bull Administracioacuten de claves de acceso
bull Alfanumeacutericas + caracteres especiales + mayuacutesculas minuacutesculas
bull Caducidad
bull Bloqueo por intentos fallidos
bull Prohibicioacuten de palabras y datos de uso comuacuten o asociadas al usuario
bull Reseteo de clave de forma automaacutetica con preguntas de desafiacuteo (pe usando datos encriptados que solo el usuario conoce como fecha de ingreso a la empresa)
bull Perfil de usuario
bull De acuerdo a la actividad y delegacioacuten de autoridad de acuerdo a su posicioacuten y responsabilidades
bull Esquemas de proteccioacuten de datos e informacioacuten (Privado Confidencial y Estrictamente Privado y Confidencial) seguacuten la posicioacuten y actividades (previendo delincuencia comuacuten o DDOO)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 34
Seguridad Informaacutetica a Nivel de Usuarios
EDUCAR AL USUARIO
bull Documentar y publicar todas las normas y procedimientos asociados
bull Generar una cultura de seguridad El usuario ayuda a reforzar y aplicar los mecanismos de seguridad
bull Objetivo Reducir el nuacutemero de incidentes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 35
Adicionales a los que ya
se mostroacute para
usuarios comunes se
debe
bull Seguridad de acceso a las instalaciones (aacuterea de desarrollo y aacuterea de servidores o main frame)
bull Poliacutetica de respaldo de informacioacuten y programas que incluyan backups in situ outside a modo copia espejo e incremental (solo variaciones)
bull Poliacuteticas de sustraccioacuten de datos incluyendo el uso de CDROM y Pendrivers (Wikiliks)
bull Crear ambientes de desarrollo de software aislados de los ambientes de produccioacuten (operaciones de la empresa) y de prueba Crear ambientes de prueba con participacioacuten funcional
bull Crear protocolos de procesos de cambio (implantacioacuten de sistemas actualizacioacuten de software incluidos los sistemas operativos) que incluyan respaldo total de programas y datos a modo espejo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 36
Seguridad Informaacutetica a Nivel de Usuarios
Vulnerabilidad
bull En un sistema informaacutetico lo que queremos proteger son sus activos es decir los recursos que forman parte del sistema y que podemos agrupar enbull - Hardware - Software
bull - Datos - Otros
bull Los mas criacuteticos son los datos el hardware y el software Es decir los datos que estaacuten almacenados en el hardware y que son procesados por las aplicaciones software
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 37
Vulnerabilidad
bull Es la debilidad de cualquier tipo que compromete la seguridad del sistema informaacutetico
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 38
Disentildeobull Debilidad en el disentildeo de protocolos utilizados en las redes
bull Poliacuteticas de seguridad deficientes e inexistentes
Implementacioacuten
bull Errores de programacioacuten
bull Existencia de ldquopuertas traserasrdquo en los sistemas informaacuteticos
bull Descuido de los fabricantes
Uso
bull Mala configuracioacuten de los sistemas informaacuteticos
bull Desconocimiento y falta de sensibilizacioacuten de los usuarios y de los responsables de informaacutetica
bull Disponibilidad de herramientas que facilitan los ataques
bull Limitacioacuten gubernamental de tecnologiacuteas de seguridad
Vulnerabilidades conocidas
bull Firewall
bull Antivirus
bull Malware
bull Antispy
bull Protocolos de encriptacioacuten
bull Firmas digitales
bull Monitoreo de redes (Comunity Manager)
Consisten en ataques
intercepciones de datos y enviacuteo de
informacioacuten usurpando identidad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 39
Vulnerabilidades
bull Ataques contra el flujo de la informacioacuten FLUJO NORMAL
Los mensajes en una red se enviacutean a partir de un emisor a uno o varios receptores
El atacante es un tercer elemento en la realidad existen millones de elementos atacantesintencionales o accidentales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 40
Emisor Receptor
Atacante
bull INTERRUPCIONbull El mensaje no puede llegar a su destino un recurso del sistema es destruido o
temporalmente inutilizado
bull Este es un ataque contra la Disponibilidad
bull Ejemplos Destruccioacuten de una pieza de hardware cortar los medios de comunicacioacuten o deshabilitar los sistemas de administracioacuten de archivos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 41
Vulnerabilidades
Emisor
Atacante
Receptor
Vulnerabilidades
bull INTERCEPCIONbull Una persona computadora o programa sin autorizacioacuten logra el acceso a un
recurso controlado
bull Es un ataque contra la Confidencialidad
bull Ejemplos Escuchas electroacutenicos copias iliacutecitas de programas o datos escalamiento de privilegios
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 42
Emisor
Atacante
Receptor
Vulnerabilidades
bull MODIFICACIONbull La persona sin autorizacioacuten ademaacutes de lograr el acceso modifica el mensaje
bull Este es un ataque contra la Integridad
bull Ejemplos Alterar la informacioacuten que se transmite desde una base de datos modificar los mensajes entre programas para que se comporten diferente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 43
bull FABRICACIONbull Una persona sin autorizacioacuten inserta objetos falsos en el sistemabull Es un ataque contra la Autenticidadbull Ejemplos Suplantacioacuten de identidades robo de sesiones robo de contrasentildeas
robo de direcciones IP etcbull Es muy difiacutecil estar seguro de quieacuten esta al otro lado de la liacutenea
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 44
Vulnerabilidades
Emisor
Atacante
Receptor
iquestQuienes Atacan los Sistemas
Gobiernos Extranjeros
Espiacuteas industriales o poliacuteticos
Criminales
Empleados descontentos y abusos internos
Adolescentes sin nada que hacer
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 45
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 46
Estado del ataque Ejemplo de Acciones
1-Buacutesqueda de Ingreso Correr un scanner de puertos
2-Penetracioacuten Explorar un sistema sin parches de seguridad
3-Elevacioacuten de Privilegios Lograr cuenta de Administrador
5-Enmascaramiento Borrado de rastros del ingreso y ataque
4-Ataque en si mismo Robo de datos destruccioacuten del sitio web etc
INTRUSO
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 47
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 48
Actuacioacuten del Criminal
bull Se requieren talentos especiales
bull El fraude ha crecido gracias a la aparicioacuten de las computadoras
Mitos
bull Dinero
bull Satisfaccioacuten (egocentrismo)
bull Ideologiacutea
bull Psicosis
Motivaciones personales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 49
bull Ambiente de trabajo
bull Prestaciones
bull Nivel de confianza interpersonal
bull Eacutetica ambiental
bull Nivel de stress
bull AMBIENTE DE CONTROL INTERNO
Motivaciones ambientales
Ethical Hacking
Es una intrusioacuten eacutetica es la aplicacioacuten de herramientas de intrusioacuten penetracioacuten robo personificacioacuten y negacioacuten de servicio llevado a cabo por hackers eacuteticos es decir personas con la experiencia y conocimiento suficiente para llevar a cabo estas pruebas en nombre de la organizacioacuten es decir de manera legal y prevista para determinar el nivel de seguridad de una red de equipos o servicios (incluido el aspecto de ingenieriacutea social)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 50
Ethical Hacking
bull al conocer el nivel de seguridad que se tiene en nuestra organizacioacuten es mucho maacutes sencillo no simple el tomar medidas que puedan subsanar estas deficienciasiquestPor queacute es
Importante
bull No al usar las armas que el enemigo usa es maacutes factible que podamos determinar el nivel de riesgo y por tanto la respuesta que debemos dar ante un ataque vieacutendolo como analogiacutea meacutedica es como cuando nos vacunan pues nos inoculan una versioacuten del virus del cual nos quieren hacer inmunes
iquestNo es contraproducente
bull Al contratar un servicio o realizarlo de manera interna estamos confiando en la eacutetica profesional de quien evaluacutea por lo que siacute siempre llevamos un riesgo pero se establece un contrato de buena fe hacieacutendolo suficientemente fiable (asegurando)iquestEs fiable
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 51
Ejemplos de Criacutemenes Electroacutenicos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 52
Ataque en 1986 de alemanes trabajando para la KGB contra sistemas estrateacutegicos de EEUU (Clifford Stoll Cuckooacutes egg)
El gusano Morris que se propagoacute por internet en 1988
causando un problema de DoS La causa fue la interrupcioacuten
causada por un programa escrito por Robert Tappan Morris
414 Gang enviacutea ataques contra los registros meacutedicos del
hospital para enfermos de caacutencer Sloan-Kettering
Ataques de Kevin Mitnick 1989-1996
Penetracioacuten de la red de Microsoft en octubre de 2000
por un cracker que ganoacute acceso a programas en desarrollo
Esparcimiento del Love Letter difundido por Onel Guzmaacuten en
Filipinas
53
DDoS contra Yahoo Amazon y Zdnet
Muacuteltiples problemas por virus desde
entonces
Target (Robo de informacioacuten de clientes
Identidad y datos financieros)
Juegos del Hambre
Ataque a Sony (Cyberterrorismo) y la
Respuesta con el apagoacuten de internet a
Korea del Norte
Carnabank (Europa oriental europa
occidental EEUU Panamaacute)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
Ejemplos de Criacutemenes Electroacutenicos
Algunas Clases de Ataques
Negacioacuten de Servicio (DoS)
Robo de contrasentildeas
Robo de identidad
Ingenieriacutea social
Defacement
FraudePirateriacutea de
softwareDumpster
divingCoacutedigo
MaliciosoIP spoofing
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 54
Algunas Clases de Ataques
EspionajeDestruccioacuten o alteracioacuten de informacioacuten
Uso de scripts de ataque
desarrolladosPhishing
Ciber -Terrorismo
War DialingWar
DrivingWalkingWar Chalking
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 55
El Caso Carbanak 1MMMUS$
La banda delictiva ciberneacutetica CARBANAK roba mil millones de doacutelares de 100 instituciones financieras en todo el mundo Kaspersky Lab la INTERPOL EUROPOL y autoridades de diferentes paiacuteses han unido sus fuerzas para dejar al descubierto el complot delictivo de un robo ciberneacutetico sin precedentes Hasta mil millones de doacutelares americanos fueron robados en cerca de dos antildeos de instituciones financieras en todo el mundo Los expertos informan que la responsabilidad del robo recae en una banda multinacional de ciberdelincuentesde Rusia Ucrania y otras partes de Europa asiacute como de China
La banda CARBANAK responsable del robo ciberneacutetico utilizoacute teacutecnicas extraiacutedas del arsenal de los ataques selectivos El complot marca el inicio de una nueva etapa en la evolucioacuten de la actividad de delincuencia ciberneacutetica donde usuarios maliciosos roban dinero directamente de los bancos y evitan concentrar sus ataques en los usuarios finales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 56
Comunicado de prensa 160215 - Karpersky
5705062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
MALWARE
El malware es un tipo de software que tiene como objetivo infiltrarse o dantildear un ordenador sistema de informacioacuten sin el consentimiento de su propietario
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 58
POPUP
bull Un pop-up es un tipo de ventana web que aparece delante de la ventana de un navegador al visitar una paacutegina web
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 59
VOLVER
ADWARE
bull Un programa de clase adware es cualquier programa que automaacuteticamente muestra publicidad web al usuario durante su instalacioacuten o durante su uso para generar lucro a sus autores
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 60
SPAM
bull Se llama spam correo basura a los mensajes no solicitados no deseados o de remitente no conocido habitualmente de tipo publicitario generalmente enviados
en grandes cantidades que perjudican al receptor
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 61
Bomba Loacutegica
Son programas informaacuteticos que se instala en un ordenador y permanece oculto hasta cumplirse una o maacutes condiciones preprogramadas para en ese momento ejecutar una accioacuten
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 62
volver
VIRUS DE MACROS
bull Es una secuencia de oacuterdenes de teclado y ratoacuten asignadas a una sola tecla Los virus de macros afectan a archivos y plantillas que los contienen hacieacutendose pasar por una macro y no actuaraacuten hasta que el archivo se abra o utilice
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 63
VOLVER
VIRUS RESIDENTES
bull Se colocan automaacuteticamente en la memoria RAM del ordenador De este modo pueden controlar e interceptar todas las operaciones llevadas a cabo por el sistema operativo infectando todos aquellos ficheros yo programas que sean ejecutados abiertos cerrados renombrados copiados etc
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 64
VIRUS DE ENLACE
bull Modifican las direcciones que permiten a nivel interno acceder a cada uno de los archivos existentes y como consecuencia no es posible localizarlos y trabajar con ellos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 65
VOLVER
VIRUS MUTANTES
bull Son virus que mutan es decir x Debido a estas mutaciones cada generacioacuten de virus es diferente a la versioacuten anterior dificultando asiacute su deteccioacuten y eliminacioacuten
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 66
VIRUS DE BOOT
bull Se activan en el momento en el que se arranca el ordenador desde un disco infectado ya sea desde el disco duro o desde una memoria USB
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 67
VOLVER
VIRUS DE PROGRAMA
bull Comuacutenmente infectan archivos con extensiones EXE COM OVL DRV BIN DLL y SYS
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 68
VOLVER
VIRUS DE SOBREESCRITURA
bull Sobre-escriben en el interior de los archivos atacados haciendo que se pierda el contenido de los mismos
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 69
Ataques de Seguridad
bull Spyware Es un software de computadoraque al instalarse intercepta o toma controlparcial de la interaccioacuten de lacomputadora y el usuario esto sin que elmismo se de cuenta Estos programaspueden recolectar diferentes tipos deinformacioacuten de los usuarios asiacute comoinstalar software adicional sin elconsentimiento de los mismos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 70
71
Herramientas de Seguridad
bull Gusano Es un programa de computadora quepuede replicarse a si mismo utiliza la red paraenviar copias de si mismo a otros nodos y lopuede hacer sin la intervencioacuten del usuario
A diferencia de los ldquovirusrdquo los gusanos nonecesitan estar amarrados a un programa y sufuncioacuten es principalmente dantildear la red (ejdesempentildeo) mientras que los virus dantildeanarchivos en computadoras
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
72
Ataques de Seguridad
bull Caballo de Troya Es una programa que seinstala bajo la creencia de que se estainstalando alguna otra cosa Los troyanosson programas muy utilizados parainstalar programas tipo ldquobackdoorsrdquo quepermiten el acceso no autorizado a lacomputadora atacada un ejemplo deprogramas tipo backdoor son losKeyloogers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
73
Ataques de Seguridad
bull DoS Denial of service- Ataques quehacen indisponible un servicio a losusuarios
bull DDoS Son conocidos como DNSBackbone Distributed Denial ofServices ndash Ataques tienen comoblanco los servidores raiacutez DNS por lotanto afectan uno de los pilares delInternet los nombres de los dominios
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
74
Ataques de Seguridad
bull Footprinting Teacutecnica utilizada para reunir informacioacuten acerca de sistemas computacionales y las entidades a las que pertenece algunos ejemplos son
- Domain queries
- Network queries
- Organizational queries
- TCP scans
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
75
Ataques de Seguridad
bull Fingerprinting Tambieacuten es conocidocomo TCPIP stack fingerprinting y esutilizado para determinar que sistemaoperativo utiliza alguacuten blanco en la redExiste dos tipos de fingerprinting
- Pasivo- Activo
NMAP es una herramienta que utilizafingerprinting activo para mapearpuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
76
Ataques de Seguridad
bull Escaneo de puertos El escaneo depuertos se basa en el FingerprintingActivo es decir transmite y recibesentildeales como ICMP TELNET SNMPdesde un blanco determinado en lared esto con el fin de obtenerinformacioacuten de dicho blanco en estecaso informacioacuten acerca de suspuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
77
Ataques de Seguridad
bull Sniffing Para llevar a cabo el sniffing esnecesario contar con un ldquopacket snifferrdquoque puede ser software instalado en unacomputadora o un dispositivoindependiente (appliance) estedispositivo es utilizado para interceptar yregistrar traacutefico que pasa a traveacutes de unared o de un segmento de la misma(Puede ser de una red ethernet owireless)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
78
Ataques de Seguridad
bull Spoofing Los ataques tipo spoofing sonaquellos en los que una persona oprograma logra hacerse pasar por otrafalsificando informacioacuten o utilizando laingenieriacutea algunos ataques tipo spoofingson los siguientes
- Falsificacioacuten de direccioacuten de email
- Falsificacioacuten de ID de llamadas telefoacutenicas
- Falsificacioacuten de sitios de internet (phishing)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
79
Ataques de Seguridad
bull Phishing Es el uso de teacutecnicas deingenieriacutea social con la finalidad deadquirir de manera fraudulentainformacioacuten confidencial comonombres de usuarios contrasentildeasinformacioacuten de tarjetas de creacutedito
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
80
Ataques de Seguridad
bull Ingenieriacutea Social Se refiere a unacoleccioacuten de teacutecnicas utilizadas paramanipular a las personas para querealicen alguna accioacuten o divulgueninformacioacuten confidencial
Algunos ingenieros sociales notablesson
- Kevin Mitnik
- Frank Abagnale
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
Ingenieriacutea Social
Es el conjunto de meacutetodos y praacutecticas usados para obtener informacioacuten de usuarios legiacutetimos y con la informacioacuten obtenida lograr acceso a sistemas protegidos siendo esta praacutectica de uso comuacuten entre piratas informaacuteticos y delincuentes computacionales
Coacutemo me afecta Al no validar las referencias o no seguir el protocolo de seguridad adecuado para divulgar contrasentildeas o cualquier otra informacioacuten sensible podemos ser coacutemplices de un crimen Meacutexico ha acordado con organismos internacionales la homologacioacuten yo adecuacioacuten de coacutedigos penales para que estos delitos sean perseguidos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 81
Ingenieriacutea Social
Coacutemo puedo saber si estoy siendo viacutectima de un ingeniero social Muy simple cuando alguien nos pide alguacuten tipo de informacioacuten privilegiada y esta persona es insistente cuando le requerimos seguir un protocolo para validar su intencioacuten es altamente probable que estemos siendo viacutectimas de un intento de robo de informacioacuten por un ingeniero socialhacker
Coacutemo puedo evitarlo Sencillo si no confiamos en la persona que nos solicita los datos (supongamos un teacutecnico de soporte de nuestro lugar de trabajo) podemos pedirle que nos deje sus datos y comunicarnos con el 10 minutos despueacutes de validar que la peticioacuten es legiacutetima es decir soacutelo sigamos los protocolos que existen en el trabajo y crear los propios en casa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 82
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra los Sistemas que Utilizan Tecnologiacuteas de Informacioacuten
bull Artiacuteculo 6 Acceso indebido
bull Artiacuteculo 7 Sabotaje o dantildeo a sistemas
bull Artiacuteculo 8 Favorecimiento culposo del sabotaje o dantildeo
bull Artiacuteculo 9 Acceso indebido o sabotaje a sistemas protegidos
bull Artiacuteculo 10 Posesioacuten de equipos o prestacioacuten de servicios de sabotaje
bull Artiacuteculo 11 Espionaje informaacutetico
bull Artiacuteculo 12 Falsificacioacuten de documentos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 83
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Propiedad
bull Artiacuteculo 13 Hurto
bull Artiacuteculo 14 Fraude
bull Artiacuteculo 15 Obtencioacuten indebida de bienes o servicios
bull Artiacuteculo 16 Manejo fraudulento de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 17 Apropiacioacuten de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 18 Provisioacuten indebida de bienes o servicios
bull Artiacuteculo 19 Posesioacuten de equipo para falsificaciones
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 84
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Privacidad de las Personas y de las Comunicaciones
bullArtiacuteculo 20 Violacioacuten de la privacidad de la data o informacioacuten de caraacutecter personal
bullArtiacuteculo 21 Violacioacuten de la privacidad de las comunicaciones
bullArtiacuteculo 22 Revelacioacuten indebida de data o informacioacuten de caraacutecter personal
De los Delitos Contra Nintildeos Nintildeas o Adolescentes
bullArtiacuteculo 23 Difusioacuten o exhibicioacuten de material pornograacutefico
bullArtiacuteculo 24 Exhibicioacuten pornograacutefica de nintildeos o adolescentes
De los Delitos Contra el Orden Econoacutemico
bullArtiacuteculo 25 Apropiacioacuten de propiedad intelectual
bullArtiacuteculo 26 Oferta engantildeosa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 85
Plan de Contingencia Continuidad Operacional
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 86
Plan de Contingencia
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 87
ldquoConjunto de Normas y Procedimientos documentadosy comunicados que tienen por objetivo minimizar los riesgos informaacuteticos mas probablesrdquo
InvolucrabullUso de herramientas
bullCumplimiento de Tareas por
parte de personas
Plan de Contingencia
Consta de tres subplanes independientes
bull Plan de Respaldo crear y conservar en un lugar seguro copias de seguridad de la informacioacuten
bull Pla de Emergencia queacute medidas tomar cuando se estaacute materializando una amenaza o cuando acaba de producirse
bull Plan de Recuperacioacuten medidas que se aplicaran cuando se ha producido un desastre El objetivo es evaluar el impacto y regresar lo antes posible
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 88
Plan de Contingencia
En la elaboracioacuten de este plan no se puede dejar por fuera a los miembros de la organizacioacuten el cual debe estar informado y entrenado para actuar en las funciones que le hayan sido encomendadas en caso de producirse una amenaza o impacto
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 89
Continuidad Operacional
Business Continuity Planning (Plan de Continuidad de negocios)
bull Plan Baacutesico
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Coldsite)
bull Plan Intermedio
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan Alto
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan de respuesta y continuidad de negocios alternativo (sin asistencia de sistemas)
bull Stress Testing al Plan
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 90
El Stress Testing
bull Poner a prueba el planbull Revise y evalueacute
bull Respaldosbull Oportunidad integridad y funcionalidadbull Custodia y transporte
bull Cold y Hotsitebull Funcionalidad accesibilidad y compatibilidadbull Actualizacioacuten oportuna (hotsite)
bull Personalbull Roles y funcionesbull Accesibilidad (contactos y comunicaciones)
bull Simulacioacuten de cataacutestrofesbull Sin previo aviso el director encargado del BCP se presenta en el centro de computo
cronometro en mano y baja la cuchilla de electricidad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 91
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de Lehman Brothers
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el WorldTrade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehman se desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del World Trade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehman teniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 92
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de LehmanBrothers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 93
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el World Trade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehmanse desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 94
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del WorldTrade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehmanteniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 95
La Contingencia Manual la Uacuteltima Frontera
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 96
05062015 97
DATOS BAacuteSICOS
Responsable A Nivel Corporativo Responsable(s) A Nivel Regional
PROVEEDOR (ES)
Origen Responsable Insumo (s)
RESULTADOS
Normas y Procedimientos Asociados Fecha uacuteltima revisioacuten Sistemas Aplicaciones Asociadas
Proceso
CALIFICACIOacuteN DE CONTROLES DE ENTRADA
Actividad
RECOMENDACIONES
Procesamiento
Automaacutetico (A)Manual (M)
Frecuencia
Adiestramiento Proceso Sistema N y P Otros
Negocio Area Localidad
Responsable
Nombre CargoNombre Cargo
NOMBRE
ELABORADO POR
CARGO FIRMA
Calidad de Data (B) Buena (R) Regular (M) Mala Oportunidad (AT) A Tiempo (R) Retrasada Revisioacuten Aprobacioacuten (S) Si (N) NoLEYENDA
Calificacioacuten (F) Fuerte (M) Medio (B) Bajo
DescripcioacutenResponsableDescripcioacuten
Tarea
Descripcioacuten
FRECUENCIA DE LA TAREA Diaria (D) Semanal (S) Mensual (M) Trimestral (T) Anual (A) Ocasional (O)
Soportes Recepcioacuten (P) Papel (E) Electroacutenico Archivo (S) Si (N) No Soportes Enviacuteo (S) Si (N) No Backup (S) Si (N) No
Producto (s) Cliente ReceptorControl
de salida
SoportesFrecuencia
Recepcioacuten Backup
DOCUMENTOS SISTEMAS ASOCIADOS A LOS CONTROLES
CALIFICACIOacuteN DE CONTROLES (por parte del Cliente Receptor)
Revisioacuten
Aprobacioacuten
Revisioacuten
AprobacioacutenTipo de control
Procesamiento
Automaacutetico (A)Manual (M)
Control
De EntradaTipo de control
Soportes
Recepcioacuten Archivo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 98
DATOS BAacuteSICOS
TareaActividad
Proceso Responsable del Proceso
Fecha de Elaboracioacuten 2015
Accioacuten (es) Responsable (s)
OBSERVACIONES ELABORADO POR
FIRMA
NOMBRE
Plan de recuperacioacuten y Reactivacioacuten de Finanzas
Recomendaciones Acciones
La Cadena de Valor de una Organizacioacuten de Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 99
ASESORAR EN CONTROLES DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR DELEGACIONES FINANCIERAS
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
CONTROLAR SEGURIDAD SISTEMA
OPERACIONALES ADMINISTRATIVOS Y OTROS
SISTEMAS FINANCIEROS
DESARROLLAR CONTROLES
DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR Y DESARROLLAR PLAN INTEGRAL DE CONTROL ( PIC )
Asesorar en controles de procesos normas y
Procedimientos
Administrar delegaciones financieras
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
Controlar seguridad sistema
operacionales administrativos y otros
sistemas financieros
Desarrollar
controles de
procesos
normas y
procedimientos
Administrar y desarrollar plan integral de control ( PIC )
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 20
Propietariosvaloran
Quieren minimizar
Salvaguardasdefinen
Pueden tener conciencia de
Amenazasexplotan
VulnerabilidadesPermiten o facilitan
Dantildeo
RECURSOSQue pueden tener
Reducen
RIESGO
Fecha __ __ __
Componente Supervisioacuten
Formulario nuacutemero 6 - Mapeo de Riesgos resultado de la evaluacioacuten de Efectividad Eficiencia y Cumplimiento de los Controles
Fecha ________
Entidad evaluada _____________ Proceso _____________________________________Sub Proceso_______________________________________Etapa sub proceso________________________
Elaborado por____________________________________Aprobado Por_________________________________ Pag __ de __
8 500
3 300
0
3
6
9
12
0 3 6 9 12
PR
OB
AB
ILID
AD
IMPACTO
MAPA DE RIESGOS
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 21
Responsabilidad de la Gerencia
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 22
Seguridad Informaacutetica ISOIEC 27001
ldquoLa seguridad informaacutetica consiste en la implantacioacuten de un conjunto de medidas teacutecnicas destinadas a preservar la confidencialidad la integridad y la disponibilidad de la informacioacuten pudiendo ademaacutes abarcar otras propiedades como la autenticidad la responsabilidad la fiabilidad y el no repudiordquo
Es la definicioacuten ofrecida por el estaacutendar para la seguridad de la informacioacuten ISOIEC 27001 aprobado y publicado en octubre de 2005 por la International Organization for Standardization (ISO) y por la comisioacuten International Electrotechnical Commission (IEC)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 23
Estructura Organizacional
Poliacutetica de Seguridad
Organizacioacuten de la Seguridad de la Informacioacuten
Gestioacuten de Activos Control de Acceso
Cumplimiento Conformidad Informacioacuten de gestioacuten de incidentes de seguridad
Seguridad de los recursos humanos
Gestioacuten de continuidad del negocio
Sistemas de Informacioacuten de adquisicioacuten desarrollo y mantenimiento
Comunicacioacuten y gestioacuten de operaciones
Seguridad fiacutesica y ambiental
Los 11 dominios de la ISOIEC 27001bull Poliacutetica de Seguridadbull Organizacioacuten de la seguridad de la
informacioacutenbull Gestioacuten de Activosbull Seguridad de los recursos humanosbull Seguridad fiacutesica y ambientalbull Comunicacioacuten y gestioacuten de
operacionesbull Control de accesobull Sistemas de informacioacuten de
adquisicioacuten desarrollo y mantenimiento
bull Informacioacuten de gestioacuten de incidentes de seguridad
bull Gestioacuten de continuidad del negociobull Cumplimiento Conformidad
Gerencia
Operaciones
Leyenda
Aspectos Gerenciales
Aspectos Teacutecnicos
Aspectos Fiacutesicos
Riesgos Amenazas
VulnerabilidadesGestioacuten de Riesgos en TI
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 25
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 26
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 27
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
DE ATAQUES INTERNOS PARA DANtildeAR DATOS O SISTEMAS FRAUDES ERRORES EN EL MANEJO DE
SISTEMAS
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 28
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 29
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 30
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 31
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Seguridad Informaacutetica a Nivel de Usuarios
bull Los usuarios se acostumbran a usar la tecnologiacutea sin saber como funciona o de los riesgos que pueden correr
bull Son el punto de entrada de muchos de los problemas croacutenicos
bull Son ldquoEl eslaboacuten maacutes deacutebilrdquo en la cadena de seguridad
Usuarios comunes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 32
Seguridad Informaacutetica a Nivel de Usuarios
bull Principio del MENOR PRIVILEGIO POSIBLE
bull EDUCAR AL USUARIO
Dos enfoques para
controlarlos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 33
Seguridad Informaacutetica a Nivel de Usuarios
Principio del MENOR PRIVILEGIO POSIBLE Implica seguridad de
acceso al sistema (usuario password perfiles de usuario de
manera transaccional ndash seguridad por posicioacuten workflow)
bull Reducir la capacidad de accioacuten del usuario sobre los sistemas
bull Objetivo Lograr el menor dantildeo posible en caso de incidentes
Administracioacuten de privilegios
bull Usuarios uacutenicos e intransferibles
bull Procesos de desactivacioacuten de cuentas y activacioacuten del reemplazo (en periacuteodos vacacionales y de reposos)
bull Administracioacuten de claves de acceso
bull Alfanumeacutericas + caracteres especiales + mayuacutesculas minuacutesculas
bull Caducidad
bull Bloqueo por intentos fallidos
bull Prohibicioacuten de palabras y datos de uso comuacuten o asociadas al usuario
bull Reseteo de clave de forma automaacutetica con preguntas de desafiacuteo (pe usando datos encriptados que solo el usuario conoce como fecha de ingreso a la empresa)
bull Perfil de usuario
bull De acuerdo a la actividad y delegacioacuten de autoridad de acuerdo a su posicioacuten y responsabilidades
bull Esquemas de proteccioacuten de datos e informacioacuten (Privado Confidencial y Estrictamente Privado y Confidencial) seguacuten la posicioacuten y actividades (previendo delincuencia comuacuten o DDOO)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 34
Seguridad Informaacutetica a Nivel de Usuarios
EDUCAR AL USUARIO
bull Documentar y publicar todas las normas y procedimientos asociados
bull Generar una cultura de seguridad El usuario ayuda a reforzar y aplicar los mecanismos de seguridad
bull Objetivo Reducir el nuacutemero de incidentes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 35
Adicionales a los que ya
se mostroacute para
usuarios comunes se
debe
bull Seguridad de acceso a las instalaciones (aacuterea de desarrollo y aacuterea de servidores o main frame)
bull Poliacutetica de respaldo de informacioacuten y programas que incluyan backups in situ outside a modo copia espejo e incremental (solo variaciones)
bull Poliacuteticas de sustraccioacuten de datos incluyendo el uso de CDROM y Pendrivers (Wikiliks)
bull Crear ambientes de desarrollo de software aislados de los ambientes de produccioacuten (operaciones de la empresa) y de prueba Crear ambientes de prueba con participacioacuten funcional
bull Crear protocolos de procesos de cambio (implantacioacuten de sistemas actualizacioacuten de software incluidos los sistemas operativos) que incluyan respaldo total de programas y datos a modo espejo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 36
Seguridad Informaacutetica a Nivel de Usuarios
Vulnerabilidad
bull En un sistema informaacutetico lo que queremos proteger son sus activos es decir los recursos que forman parte del sistema y que podemos agrupar enbull - Hardware - Software
bull - Datos - Otros
bull Los mas criacuteticos son los datos el hardware y el software Es decir los datos que estaacuten almacenados en el hardware y que son procesados por las aplicaciones software
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 37
Vulnerabilidad
bull Es la debilidad de cualquier tipo que compromete la seguridad del sistema informaacutetico
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 38
Disentildeobull Debilidad en el disentildeo de protocolos utilizados en las redes
bull Poliacuteticas de seguridad deficientes e inexistentes
Implementacioacuten
bull Errores de programacioacuten
bull Existencia de ldquopuertas traserasrdquo en los sistemas informaacuteticos
bull Descuido de los fabricantes
Uso
bull Mala configuracioacuten de los sistemas informaacuteticos
bull Desconocimiento y falta de sensibilizacioacuten de los usuarios y de los responsables de informaacutetica
bull Disponibilidad de herramientas que facilitan los ataques
bull Limitacioacuten gubernamental de tecnologiacuteas de seguridad
Vulnerabilidades conocidas
bull Firewall
bull Antivirus
bull Malware
bull Antispy
bull Protocolos de encriptacioacuten
bull Firmas digitales
bull Monitoreo de redes (Comunity Manager)
Consisten en ataques
intercepciones de datos y enviacuteo de
informacioacuten usurpando identidad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 39
Vulnerabilidades
bull Ataques contra el flujo de la informacioacuten FLUJO NORMAL
Los mensajes en una red se enviacutean a partir de un emisor a uno o varios receptores
El atacante es un tercer elemento en la realidad existen millones de elementos atacantesintencionales o accidentales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 40
Emisor Receptor
Atacante
bull INTERRUPCIONbull El mensaje no puede llegar a su destino un recurso del sistema es destruido o
temporalmente inutilizado
bull Este es un ataque contra la Disponibilidad
bull Ejemplos Destruccioacuten de una pieza de hardware cortar los medios de comunicacioacuten o deshabilitar los sistemas de administracioacuten de archivos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 41
Vulnerabilidades
Emisor
Atacante
Receptor
Vulnerabilidades
bull INTERCEPCIONbull Una persona computadora o programa sin autorizacioacuten logra el acceso a un
recurso controlado
bull Es un ataque contra la Confidencialidad
bull Ejemplos Escuchas electroacutenicos copias iliacutecitas de programas o datos escalamiento de privilegios
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 42
Emisor
Atacante
Receptor
Vulnerabilidades
bull MODIFICACIONbull La persona sin autorizacioacuten ademaacutes de lograr el acceso modifica el mensaje
bull Este es un ataque contra la Integridad
bull Ejemplos Alterar la informacioacuten que se transmite desde una base de datos modificar los mensajes entre programas para que se comporten diferente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 43
bull FABRICACIONbull Una persona sin autorizacioacuten inserta objetos falsos en el sistemabull Es un ataque contra la Autenticidadbull Ejemplos Suplantacioacuten de identidades robo de sesiones robo de contrasentildeas
robo de direcciones IP etcbull Es muy difiacutecil estar seguro de quieacuten esta al otro lado de la liacutenea
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 44
Vulnerabilidades
Emisor
Atacante
Receptor
iquestQuienes Atacan los Sistemas
Gobiernos Extranjeros
Espiacuteas industriales o poliacuteticos
Criminales
Empleados descontentos y abusos internos
Adolescentes sin nada que hacer
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 45
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 46
Estado del ataque Ejemplo de Acciones
1-Buacutesqueda de Ingreso Correr un scanner de puertos
2-Penetracioacuten Explorar un sistema sin parches de seguridad
3-Elevacioacuten de Privilegios Lograr cuenta de Administrador
5-Enmascaramiento Borrado de rastros del ingreso y ataque
4-Ataque en si mismo Robo de datos destruccioacuten del sitio web etc
INTRUSO
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 47
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 48
Actuacioacuten del Criminal
bull Se requieren talentos especiales
bull El fraude ha crecido gracias a la aparicioacuten de las computadoras
Mitos
bull Dinero
bull Satisfaccioacuten (egocentrismo)
bull Ideologiacutea
bull Psicosis
Motivaciones personales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 49
bull Ambiente de trabajo
bull Prestaciones
bull Nivel de confianza interpersonal
bull Eacutetica ambiental
bull Nivel de stress
bull AMBIENTE DE CONTROL INTERNO
Motivaciones ambientales
Ethical Hacking
Es una intrusioacuten eacutetica es la aplicacioacuten de herramientas de intrusioacuten penetracioacuten robo personificacioacuten y negacioacuten de servicio llevado a cabo por hackers eacuteticos es decir personas con la experiencia y conocimiento suficiente para llevar a cabo estas pruebas en nombre de la organizacioacuten es decir de manera legal y prevista para determinar el nivel de seguridad de una red de equipos o servicios (incluido el aspecto de ingenieriacutea social)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 50
Ethical Hacking
bull al conocer el nivel de seguridad que se tiene en nuestra organizacioacuten es mucho maacutes sencillo no simple el tomar medidas que puedan subsanar estas deficienciasiquestPor queacute es
Importante
bull No al usar las armas que el enemigo usa es maacutes factible que podamos determinar el nivel de riesgo y por tanto la respuesta que debemos dar ante un ataque vieacutendolo como analogiacutea meacutedica es como cuando nos vacunan pues nos inoculan una versioacuten del virus del cual nos quieren hacer inmunes
iquestNo es contraproducente
bull Al contratar un servicio o realizarlo de manera interna estamos confiando en la eacutetica profesional de quien evaluacutea por lo que siacute siempre llevamos un riesgo pero se establece un contrato de buena fe hacieacutendolo suficientemente fiable (asegurando)iquestEs fiable
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 51
Ejemplos de Criacutemenes Electroacutenicos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 52
Ataque en 1986 de alemanes trabajando para la KGB contra sistemas estrateacutegicos de EEUU (Clifford Stoll Cuckooacutes egg)
El gusano Morris que se propagoacute por internet en 1988
causando un problema de DoS La causa fue la interrupcioacuten
causada por un programa escrito por Robert Tappan Morris
414 Gang enviacutea ataques contra los registros meacutedicos del
hospital para enfermos de caacutencer Sloan-Kettering
Ataques de Kevin Mitnick 1989-1996
Penetracioacuten de la red de Microsoft en octubre de 2000
por un cracker que ganoacute acceso a programas en desarrollo
Esparcimiento del Love Letter difundido por Onel Guzmaacuten en
Filipinas
53
DDoS contra Yahoo Amazon y Zdnet
Muacuteltiples problemas por virus desde
entonces
Target (Robo de informacioacuten de clientes
Identidad y datos financieros)
Juegos del Hambre
Ataque a Sony (Cyberterrorismo) y la
Respuesta con el apagoacuten de internet a
Korea del Norte
Carnabank (Europa oriental europa
occidental EEUU Panamaacute)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
Ejemplos de Criacutemenes Electroacutenicos
Algunas Clases de Ataques
Negacioacuten de Servicio (DoS)
Robo de contrasentildeas
Robo de identidad
Ingenieriacutea social
Defacement
FraudePirateriacutea de
softwareDumpster
divingCoacutedigo
MaliciosoIP spoofing
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 54
Algunas Clases de Ataques
EspionajeDestruccioacuten o alteracioacuten de informacioacuten
Uso de scripts de ataque
desarrolladosPhishing
Ciber -Terrorismo
War DialingWar
DrivingWalkingWar Chalking
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 55
El Caso Carbanak 1MMMUS$
La banda delictiva ciberneacutetica CARBANAK roba mil millones de doacutelares de 100 instituciones financieras en todo el mundo Kaspersky Lab la INTERPOL EUROPOL y autoridades de diferentes paiacuteses han unido sus fuerzas para dejar al descubierto el complot delictivo de un robo ciberneacutetico sin precedentes Hasta mil millones de doacutelares americanos fueron robados en cerca de dos antildeos de instituciones financieras en todo el mundo Los expertos informan que la responsabilidad del robo recae en una banda multinacional de ciberdelincuentesde Rusia Ucrania y otras partes de Europa asiacute como de China
La banda CARBANAK responsable del robo ciberneacutetico utilizoacute teacutecnicas extraiacutedas del arsenal de los ataques selectivos El complot marca el inicio de una nueva etapa en la evolucioacuten de la actividad de delincuencia ciberneacutetica donde usuarios maliciosos roban dinero directamente de los bancos y evitan concentrar sus ataques en los usuarios finales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 56
Comunicado de prensa 160215 - Karpersky
5705062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
MALWARE
El malware es un tipo de software que tiene como objetivo infiltrarse o dantildear un ordenador sistema de informacioacuten sin el consentimiento de su propietario
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 58
POPUP
bull Un pop-up es un tipo de ventana web que aparece delante de la ventana de un navegador al visitar una paacutegina web
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 59
VOLVER
ADWARE
bull Un programa de clase adware es cualquier programa que automaacuteticamente muestra publicidad web al usuario durante su instalacioacuten o durante su uso para generar lucro a sus autores
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 60
SPAM
bull Se llama spam correo basura a los mensajes no solicitados no deseados o de remitente no conocido habitualmente de tipo publicitario generalmente enviados
en grandes cantidades que perjudican al receptor
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 61
Bomba Loacutegica
Son programas informaacuteticos que se instala en un ordenador y permanece oculto hasta cumplirse una o maacutes condiciones preprogramadas para en ese momento ejecutar una accioacuten
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 62
volver
VIRUS DE MACROS
bull Es una secuencia de oacuterdenes de teclado y ratoacuten asignadas a una sola tecla Los virus de macros afectan a archivos y plantillas que los contienen hacieacutendose pasar por una macro y no actuaraacuten hasta que el archivo se abra o utilice
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 63
VOLVER
VIRUS RESIDENTES
bull Se colocan automaacuteticamente en la memoria RAM del ordenador De este modo pueden controlar e interceptar todas las operaciones llevadas a cabo por el sistema operativo infectando todos aquellos ficheros yo programas que sean ejecutados abiertos cerrados renombrados copiados etc
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 64
VIRUS DE ENLACE
bull Modifican las direcciones que permiten a nivel interno acceder a cada uno de los archivos existentes y como consecuencia no es posible localizarlos y trabajar con ellos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 65
VOLVER
VIRUS MUTANTES
bull Son virus que mutan es decir x Debido a estas mutaciones cada generacioacuten de virus es diferente a la versioacuten anterior dificultando asiacute su deteccioacuten y eliminacioacuten
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 66
VIRUS DE BOOT
bull Se activan en el momento en el que se arranca el ordenador desde un disco infectado ya sea desde el disco duro o desde una memoria USB
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 67
VOLVER
VIRUS DE PROGRAMA
bull Comuacutenmente infectan archivos con extensiones EXE COM OVL DRV BIN DLL y SYS
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 68
VOLVER
VIRUS DE SOBREESCRITURA
bull Sobre-escriben en el interior de los archivos atacados haciendo que se pierda el contenido de los mismos
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 69
Ataques de Seguridad
bull Spyware Es un software de computadoraque al instalarse intercepta o toma controlparcial de la interaccioacuten de lacomputadora y el usuario esto sin que elmismo se de cuenta Estos programaspueden recolectar diferentes tipos deinformacioacuten de los usuarios asiacute comoinstalar software adicional sin elconsentimiento de los mismos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 70
71
Herramientas de Seguridad
bull Gusano Es un programa de computadora quepuede replicarse a si mismo utiliza la red paraenviar copias de si mismo a otros nodos y lopuede hacer sin la intervencioacuten del usuario
A diferencia de los ldquovirusrdquo los gusanos nonecesitan estar amarrados a un programa y sufuncioacuten es principalmente dantildear la red (ejdesempentildeo) mientras que los virus dantildeanarchivos en computadoras
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
72
Ataques de Seguridad
bull Caballo de Troya Es una programa que seinstala bajo la creencia de que se estainstalando alguna otra cosa Los troyanosson programas muy utilizados parainstalar programas tipo ldquobackdoorsrdquo quepermiten el acceso no autorizado a lacomputadora atacada un ejemplo deprogramas tipo backdoor son losKeyloogers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
73
Ataques de Seguridad
bull DoS Denial of service- Ataques quehacen indisponible un servicio a losusuarios
bull DDoS Son conocidos como DNSBackbone Distributed Denial ofServices ndash Ataques tienen comoblanco los servidores raiacutez DNS por lotanto afectan uno de los pilares delInternet los nombres de los dominios
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
74
Ataques de Seguridad
bull Footprinting Teacutecnica utilizada para reunir informacioacuten acerca de sistemas computacionales y las entidades a las que pertenece algunos ejemplos son
- Domain queries
- Network queries
- Organizational queries
- TCP scans
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
75
Ataques de Seguridad
bull Fingerprinting Tambieacuten es conocidocomo TCPIP stack fingerprinting y esutilizado para determinar que sistemaoperativo utiliza alguacuten blanco en la redExiste dos tipos de fingerprinting
- Pasivo- Activo
NMAP es una herramienta que utilizafingerprinting activo para mapearpuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
76
Ataques de Seguridad
bull Escaneo de puertos El escaneo depuertos se basa en el FingerprintingActivo es decir transmite y recibesentildeales como ICMP TELNET SNMPdesde un blanco determinado en lared esto con el fin de obtenerinformacioacuten de dicho blanco en estecaso informacioacuten acerca de suspuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
77
Ataques de Seguridad
bull Sniffing Para llevar a cabo el sniffing esnecesario contar con un ldquopacket snifferrdquoque puede ser software instalado en unacomputadora o un dispositivoindependiente (appliance) estedispositivo es utilizado para interceptar yregistrar traacutefico que pasa a traveacutes de unared o de un segmento de la misma(Puede ser de una red ethernet owireless)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
78
Ataques de Seguridad
bull Spoofing Los ataques tipo spoofing sonaquellos en los que una persona oprograma logra hacerse pasar por otrafalsificando informacioacuten o utilizando laingenieriacutea algunos ataques tipo spoofingson los siguientes
- Falsificacioacuten de direccioacuten de email
- Falsificacioacuten de ID de llamadas telefoacutenicas
- Falsificacioacuten de sitios de internet (phishing)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
79
Ataques de Seguridad
bull Phishing Es el uso de teacutecnicas deingenieriacutea social con la finalidad deadquirir de manera fraudulentainformacioacuten confidencial comonombres de usuarios contrasentildeasinformacioacuten de tarjetas de creacutedito
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
80
Ataques de Seguridad
bull Ingenieriacutea Social Se refiere a unacoleccioacuten de teacutecnicas utilizadas paramanipular a las personas para querealicen alguna accioacuten o divulgueninformacioacuten confidencial
Algunos ingenieros sociales notablesson
- Kevin Mitnik
- Frank Abagnale
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
Ingenieriacutea Social
Es el conjunto de meacutetodos y praacutecticas usados para obtener informacioacuten de usuarios legiacutetimos y con la informacioacuten obtenida lograr acceso a sistemas protegidos siendo esta praacutectica de uso comuacuten entre piratas informaacuteticos y delincuentes computacionales
Coacutemo me afecta Al no validar las referencias o no seguir el protocolo de seguridad adecuado para divulgar contrasentildeas o cualquier otra informacioacuten sensible podemos ser coacutemplices de un crimen Meacutexico ha acordado con organismos internacionales la homologacioacuten yo adecuacioacuten de coacutedigos penales para que estos delitos sean perseguidos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 81
Ingenieriacutea Social
Coacutemo puedo saber si estoy siendo viacutectima de un ingeniero social Muy simple cuando alguien nos pide alguacuten tipo de informacioacuten privilegiada y esta persona es insistente cuando le requerimos seguir un protocolo para validar su intencioacuten es altamente probable que estemos siendo viacutectimas de un intento de robo de informacioacuten por un ingeniero socialhacker
Coacutemo puedo evitarlo Sencillo si no confiamos en la persona que nos solicita los datos (supongamos un teacutecnico de soporte de nuestro lugar de trabajo) podemos pedirle que nos deje sus datos y comunicarnos con el 10 minutos despueacutes de validar que la peticioacuten es legiacutetima es decir soacutelo sigamos los protocolos que existen en el trabajo y crear los propios en casa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 82
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra los Sistemas que Utilizan Tecnologiacuteas de Informacioacuten
bull Artiacuteculo 6 Acceso indebido
bull Artiacuteculo 7 Sabotaje o dantildeo a sistemas
bull Artiacuteculo 8 Favorecimiento culposo del sabotaje o dantildeo
bull Artiacuteculo 9 Acceso indebido o sabotaje a sistemas protegidos
bull Artiacuteculo 10 Posesioacuten de equipos o prestacioacuten de servicios de sabotaje
bull Artiacuteculo 11 Espionaje informaacutetico
bull Artiacuteculo 12 Falsificacioacuten de documentos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 83
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Propiedad
bull Artiacuteculo 13 Hurto
bull Artiacuteculo 14 Fraude
bull Artiacuteculo 15 Obtencioacuten indebida de bienes o servicios
bull Artiacuteculo 16 Manejo fraudulento de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 17 Apropiacioacuten de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 18 Provisioacuten indebida de bienes o servicios
bull Artiacuteculo 19 Posesioacuten de equipo para falsificaciones
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 84
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Privacidad de las Personas y de las Comunicaciones
bullArtiacuteculo 20 Violacioacuten de la privacidad de la data o informacioacuten de caraacutecter personal
bullArtiacuteculo 21 Violacioacuten de la privacidad de las comunicaciones
bullArtiacuteculo 22 Revelacioacuten indebida de data o informacioacuten de caraacutecter personal
De los Delitos Contra Nintildeos Nintildeas o Adolescentes
bullArtiacuteculo 23 Difusioacuten o exhibicioacuten de material pornograacutefico
bullArtiacuteculo 24 Exhibicioacuten pornograacutefica de nintildeos o adolescentes
De los Delitos Contra el Orden Econoacutemico
bullArtiacuteculo 25 Apropiacioacuten de propiedad intelectual
bullArtiacuteculo 26 Oferta engantildeosa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 85
Plan de Contingencia Continuidad Operacional
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 86
Plan de Contingencia
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 87
ldquoConjunto de Normas y Procedimientos documentadosy comunicados que tienen por objetivo minimizar los riesgos informaacuteticos mas probablesrdquo
InvolucrabullUso de herramientas
bullCumplimiento de Tareas por
parte de personas
Plan de Contingencia
Consta de tres subplanes independientes
bull Plan de Respaldo crear y conservar en un lugar seguro copias de seguridad de la informacioacuten
bull Pla de Emergencia queacute medidas tomar cuando se estaacute materializando una amenaza o cuando acaba de producirse
bull Plan de Recuperacioacuten medidas que se aplicaran cuando se ha producido un desastre El objetivo es evaluar el impacto y regresar lo antes posible
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 88
Plan de Contingencia
En la elaboracioacuten de este plan no se puede dejar por fuera a los miembros de la organizacioacuten el cual debe estar informado y entrenado para actuar en las funciones que le hayan sido encomendadas en caso de producirse una amenaza o impacto
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 89
Continuidad Operacional
Business Continuity Planning (Plan de Continuidad de negocios)
bull Plan Baacutesico
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Coldsite)
bull Plan Intermedio
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan Alto
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan de respuesta y continuidad de negocios alternativo (sin asistencia de sistemas)
bull Stress Testing al Plan
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 90
El Stress Testing
bull Poner a prueba el planbull Revise y evalueacute
bull Respaldosbull Oportunidad integridad y funcionalidadbull Custodia y transporte
bull Cold y Hotsitebull Funcionalidad accesibilidad y compatibilidadbull Actualizacioacuten oportuna (hotsite)
bull Personalbull Roles y funcionesbull Accesibilidad (contactos y comunicaciones)
bull Simulacioacuten de cataacutestrofesbull Sin previo aviso el director encargado del BCP se presenta en el centro de computo
cronometro en mano y baja la cuchilla de electricidad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 91
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de Lehman Brothers
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el WorldTrade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehman se desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del World Trade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehman teniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 92
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de LehmanBrothers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 93
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el World Trade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehmanse desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 94
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del WorldTrade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehmanteniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 95
La Contingencia Manual la Uacuteltima Frontera
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 96
05062015 97
DATOS BAacuteSICOS
Responsable A Nivel Corporativo Responsable(s) A Nivel Regional
PROVEEDOR (ES)
Origen Responsable Insumo (s)
RESULTADOS
Normas y Procedimientos Asociados Fecha uacuteltima revisioacuten Sistemas Aplicaciones Asociadas
Proceso
CALIFICACIOacuteN DE CONTROLES DE ENTRADA
Actividad
RECOMENDACIONES
Procesamiento
Automaacutetico (A)Manual (M)
Frecuencia
Adiestramiento Proceso Sistema N y P Otros
Negocio Area Localidad
Responsable
Nombre CargoNombre Cargo
NOMBRE
ELABORADO POR
CARGO FIRMA
Calidad de Data (B) Buena (R) Regular (M) Mala Oportunidad (AT) A Tiempo (R) Retrasada Revisioacuten Aprobacioacuten (S) Si (N) NoLEYENDA
Calificacioacuten (F) Fuerte (M) Medio (B) Bajo
DescripcioacutenResponsableDescripcioacuten
Tarea
Descripcioacuten
FRECUENCIA DE LA TAREA Diaria (D) Semanal (S) Mensual (M) Trimestral (T) Anual (A) Ocasional (O)
Soportes Recepcioacuten (P) Papel (E) Electroacutenico Archivo (S) Si (N) No Soportes Enviacuteo (S) Si (N) No Backup (S) Si (N) No
Producto (s) Cliente ReceptorControl
de salida
SoportesFrecuencia
Recepcioacuten Backup
DOCUMENTOS SISTEMAS ASOCIADOS A LOS CONTROLES
CALIFICACIOacuteN DE CONTROLES (por parte del Cliente Receptor)
Revisioacuten
Aprobacioacuten
Revisioacuten
AprobacioacutenTipo de control
Procesamiento
Automaacutetico (A)Manual (M)
Control
De EntradaTipo de control
Soportes
Recepcioacuten Archivo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 98
DATOS BAacuteSICOS
TareaActividad
Proceso Responsable del Proceso
Fecha de Elaboracioacuten 2015
Accioacuten (es) Responsable (s)
OBSERVACIONES ELABORADO POR
FIRMA
NOMBRE
Plan de recuperacioacuten y Reactivacioacuten de Finanzas
Recomendaciones Acciones
La Cadena de Valor de una Organizacioacuten de Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 99
ASESORAR EN CONTROLES DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR DELEGACIONES FINANCIERAS
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
CONTROLAR SEGURIDAD SISTEMA
OPERACIONALES ADMINISTRATIVOS Y OTROS
SISTEMAS FINANCIEROS
DESARROLLAR CONTROLES
DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR Y DESARROLLAR PLAN INTEGRAL DE CONTROL ( PIC )
Asesorar en controles de procesos normas y
Procedimientos
Administrar delegaciones financieras
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
Controlar seguridad sistema
operacionales administrativos y otros
sistemas financieros
Desarrollar
controles de
procesos
normas y
procedimientos
Administrar y desarrollar plan integral de control ( PIC )
Propietariosvaloran
Quieren minimizar
Salvaguardasdefinen
Pueden tener conciencia de
Amenazasexplotan
VulnerabilidadesPermiten o facilitan
Dantildeo
RECURSOSQue pueden tener
Reducen
RIESGO
Fecha __ __ __
Componente Supervisioacuten
Formulario nuacutemero 6 - Mapeo de Riesgos resultado de la evaluacioacuten de Efectividad Eficiencia y Cumplimiento de los Controles
Fecha ________
Entidad evaluada _____________ Proceso _____________________________________Sub Proceso_______________________________________Etapa sub proceso________________________
Elaborado por____________________________________Aprobado Por_________________________________ Pag __ de __
8 500
3 300
0
3
6
9
12
0 3 6 9 12
PR
OB
AB
ILID
AD
IMPACTO
MAPA DE RIESGOS
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 21
Responsabilidad de la Gerencia
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 22
Seguridad Informaacutetica ISOIEC 27001
ldquoLa seguridad informaacutetica consiste en la implantacioacuten de un conjunto de medidas teacutecnicas destinadas a preservar la confidencialidad la integridad y la disponibilidad de la informacioacuten pudiendo ademaacutes abarcar otras propiedades como la autenticidad la responsabilidad la fiabilidad y el no repudiordquo
Es la definicioacuten ofrecida por el estaacutendar para la seguridad de la informacioacuten ISOIEC 27001 aprobado y publicado en octubre de 2005 por la International Organization for Standardization (ISO) y por la comisioacuten International Electrotechnical Commission (IEC)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 23
Estructura Organizacional
Poliacutetica de Seguridad
Organizacioacuten de la Seguridad de la Informacioacuten
Gestioacuten de Activos Control de Acceso
Cumplimiento Conformidad Informacioacuten de gestioacuten de incidentes de seguridad
Seguridad de los recursos humanos
Gestioacuten de continuidad del negocio
Sistemas de Informacioacuten de adquisicioacuten desarrollo y mantenimiento
Comunicacioacuten y gestioacuten de operaciones
Seguridad fiacutesica y ambiental
Los 11 dominios de la ISOIEC 27001bull Poliacutetica de Seguridadbull Organizacioacuten de la seguridad de la
informacioacutenbull Gestioacuten de Activosbull Seguridad de los recursos humanosbull Seguridad fiacutesica y ambientalbull Comunicacioacuten y gestioacuten de
operacionesbull Control de accesobull Sistemas de informacioacuten de
adquisicioacuten desarrollo y mantenimiento
bull Informacioacuten de gestioacuten de incidentes de seguridad
bull Gestioacuten de continuidad del negociobull Cumplimiento Conformidad
Gerencia
Operaciones
Leyenda
Aspectos Gerenciales
Aspectos Teacutecnicos
Aspectos Fiacutesicos
Riesgos Amenazas
VulnerabilidadesGestioacuten de Riesgos en TI
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 25
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 26
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 27
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
DE ATAQUES INTERNOS PARA DANtildeAR DATOS O SISTEMAS FRAUDES ERRORES EN EL MANEJO DE
SISTEMAS
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 28
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 29
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 30
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 31
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Seguridad Informaacutetica a Nivel de Usuarios
bull Los usuarios se acostumbran a usar la tecnologiacutea sin saber como funciona o de los riesgos que pueden correr
bull Son el punto de entrada de muchos de los problemas croacutenicos
bull Son ldquoEl eslaboacuten maacutes deacutebilrdquo en la cadena de seguridad
Usuarios comunes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 32
Seguridad Informaacutetica a Nivel de Usuarios
bull Principio del MENOR PRIVILEGIO POSIBLE
bull EDUCAR AL USUARIO
Dos enfoques para
controlarlos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 33
Seguridad Informaacutetica a Nivel de Usuarios
Principio del MENOR PRIVILEGIO POSIBLE Implica seguridad de
acceso al sistema (usuario password perfiles de usuario de
manera transaccional ndash seguridad por posicioacuten workflow)
bull Reducir la capacidad de accioacuten del usuario sobre los sistemas
bull Objetivo Lograr el menor dantildeo posible en caso de incidentes
Administracioacuten de privilegios
bull Usuarios uacutenicos e intransferibles
bull Procesos de desactivacioacuten de cuentas y activacioacuten del reemplazo (en periacuteodos vacacionales y de reposos)
bull Administracioacuten de claves de acceso
bull Alfanumeacutericas + caracteres especiales + mayuacutesculas minuacutesculas
bull Caducidad
bull Bloqueo por intentos fallidos
bull Prohibicioacuten de palabras y datos de uso comuacuten o asociadas al usuario
bull Reseteo de clave de forma automaacutetica con preguntas de desafiacuteo (pe usando datos encriptados que solo el usuario conoce como fecha de ingreso a la empresa)
bull Perfil de usuario
bull De acuerdo a la actividad y delegacioacuten de autoridad de acuerdo a su posicioacuten y responsabilidades
bull Esquemas de proteccioacuten de datos e informacioacuten (Privado Confidencial y Estrictamente Privado y Confidencial) seguacuten la posicioacuten y actividades (previendo delincuencia comuacuten o DDOO)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 34
Seguridad Informaacutetica a Nivel de Usuarios
EDUCAR AL USUARIO
bull Documentar y publicar todas las normas y procedimientos asociados
bull Generar una cultura de seguridad El usuario ayuda a reforzar y aplicar los mecanismos de seguridad
bull Objetivo Reducir el nuacutemero de incidentes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 35
Adicionales a los que ya
se mostroacute para
usuarios comunes se
debe
bull Seguridad de acceso a las instalaciones (aacuterea de desarrollo y aacuterea de servidores o main frame)
bull Poliacutetica de respaldo de informacioacuten y programas que incluyan backups in situ outside a modo copia espejo e incremental (solo variaciones)
bull Poliacuteticas de sustraccioacuten de datos incluyendo el uso de CDROM y Pendrivers (Wikiliks)
bull Crear ambientes de desarrollo de software aislados de los ambientes de produccioacuten (operaciones de la empresa) y de prueba Crear ambientes de prueba con participacioacuten funcional
bull Crear protocolos de procesos de cambio (implantacioacuten de sistemas actualizacioacuten de software incluidos los sistemas operativos) que incluyan respaldo total de programas y datos a modo espejo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 36
Seguridad Informaacutetica a Nivel de Usuarios
Vulnerabilidad
bull En un sistema informaacutetico lo que queremos proteger son sus activos es decir los recursos que forman parte del sistema y que podemos agrupar enbull - Hardware - Software
bull - Datos - Otros
bull Los mas criacuteticos son los datos el hardware y el software Es decir los datos que estaacuten almacenados en el hardware y que son procesados por las aplicaciones software
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 37
Vulnerabilidad
bull Es la debilidad de cualquier tipo que compromete la seguridad del sistema informaacutetico
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 38
Disentildeobull Debilidad en el disentildeo de protocolos utilizados en las redes
bull Poliacuteticas de seguridad deficientes e inexistentes
Implementacioacuten
bull Errores de programacioacuten
bull Existencia de ldquopuertas traserasrdquo en los sistemas informaacuteticos
bull Descuido de los fabricantes
Uso
bull Mala configuracioacuten de los sistemas informaacuteticos
bull Desconocimiento y falta de sensibilizacioacuten de los usuarios y de los responsables de informaacutetica
bull Disponibilidad de herramientas que facilitan los ataques
bull Limitacioacuten gubernamental de tecnologiacuteas de seguridad
Vulnerabilidades conocidas
bull Firewall
bull Antivirus
bull Malware
bull Antispy
bull Protocolos de encriptacioacuten
bull Firmas digitales
bull Monitoreo de redes (Comunity Manager)
Consisten en ataques
intercepciones de datos y enviacuteo de
informacioacuten usurpando identidad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 39
Vulnerabilidades
bull Ataques contra el flujo de la informacioacuten FLUJO NORMAL
Los mensajes en una red se enviacutean a partir de un emisor a uno o varios receptores
El atacante es un tercer elemento en la realidad existen millones de elementos atacantesintencionales o accidentales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 40
Emisor Receptor
Atacante
bull INTERRUPCIONbull El mensaje no puede llegar a su destino un recurso del sistema es destruido o
temporalmente inutilizado
bull Este es un ataque contra la Disponibilidad
bull Ejemplos Destruccioacuten de una pieza de hardware cortar los medios de comunicacioacuten o deshabilitar los sistemas de administracioacuten de archivos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 41
Vulnerabilidades
Emisor
Atacante
Receptor
Vulnerabilidades
bull INTERCEPCIONbull Una persona computadora o programa sin autorizacioacuten logra el acceso a un
recurso controlado
bull Es un ataque contra la Confidencialidad
bull Ejemplos Escuchas electroacutenicos copias iliacutecitas de programas o datos escalamiento de privilegios
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 42
Emisor
Atacante
Receptor
Vulnerabilidades
bull MODIFICACIONbull La persona sin autorizacioacuten ademaacutes de lograr el acceso modifica el mensaje
bull Este es un ataque contra la Integridad
bull Ejemplos Alterar la informacioacuten que se transmite desde una base de datos modificar los mensajes entre programas para que se comporten diferente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 43
bull FABRICACIONbull Una persona sin autorizacioacuten inserta objetos falsos en el sistemabull Es un ataque contra la Autenticidadbull Ejemplos Suplantacioacuten de identidades robo de sesiones robo de contrasentildeas
robo de direcciones IP etcbull Es muy difiacutecil estar seguro de quieacuten esta al otro lado de la liacutenea
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 44
Vulnerabilidades
Emisor
Atacante
Receptor
iquestQuienes Atacan los Sistemas
Gobiernos Extranjeros
Espiacuteas industriales o poliacuteticos
Criminales
Empleados descontentos y abusos internos
Adolescentes sin nada que hacer
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 45
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 46
Estado del ataque Ejemplo de Acciones
1-Buacutesqueda de Ingreso Correr un scanner de puertos
2-Penetracioacuten Explorar un sistema sin parches de seguridad
3-Elevacioacuten de Privilegios Lograr cuenta de Administrador
5-Enmascaramiento Borrado de rastros del ingreso y ataque
4-Ataque en si mismo Robo de datos destruccioacuten del sitio web etc
INTRUSO
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 47
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 48
Actuacioacuten del Criminal
bull Se requieren talentos especiales
bull El fraude ha crecido gracias a la aparicioacuten de las computadoras
Mitos
bull Dinero
bull Satisfaccioacuten (egocentrismo)
bull Ideologiacutea
bull Psicosis
Motivaciones personales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 49
bull Ambiente de trabajo
bull Prestaciones
bull Nivel de confianza interpersonal
bull Eacutetica ambiental
bull Nivel de stress
bull AMBIENTE DE CONTROL INTERNO
Motivaciones ambientales
Ethical Hacking
Es una intrusioacuten eacutetica es la aplicacioacuten de herramientas de intrusioacuten penetracioacuten robo personificacioacuten y negacioacuten de servicio llevado a cabo por hackers eacuteticos es decir personas con la experiencia y conocimiento suficiente para llevar a cabo estas pruebas en nombre de la organizacioacuten es decir de manera legal y prevista para determinar el nivel de seguridad de una red de equipos o servicios (incluido el aspecto de ingenieriacutea social)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 50
Ethical Hacking
bull al conocer el nivel de seguridad que se tiene en nuestra organizacioacuten es mucho maacutes sencillo no simple el tomar medidas que puedan subsanar estas deficienciasiquestPor queacute es
Importante
bull No al usar las armas que el enemigo usa es maacutes factible que podamos determinar el nivel de riesgo y por tanto la respuesta que debemos dar ante un ataque vieacutendolo como analogiacutea meacutedica es como cuando nos vacunan pues nos inoculan una versioacuten del virus del cual nos quieren hacer inmunes
iquestNo es contraproducente
bull Al contratar un servicio o realizarlo de manera interna estamos confiando en la eacutetica profesional de quien evaluacutea por lo que siacute siempre llevamos un riesgo pero se establece un contrato de buena fe hacieacutendolo suficientemente fiable (asegurando)iquestEs fiable
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 51
Ejemplos de Criacutemenes Electroacutenicos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 52
Ataque en 1986 de alemanes trabajando para la KGB contra sistemas estrateacutegicos de EEUU (Clifford Stoll Cuckooacutes egg)
El gusano Morris que se propagoacute por internet en 1988
causando un problema de DoS La causa fue la interrupcioacuten
causada por un programa escrito por Robert Tappan Morris
414 Gang enviacutea ataques contra los registros meacutedicos del
hospital para enfermos de caacutencer Sloan-Kettering
Ataques de Kevin Mitnick 1989-1996
Penetracioacuten de la red de Microsoft en octubre de 2000
por un cracker que ganoacute acceso a programas en desarrollo
Esparcimiento del Love Letter difundido por Onel Guzmaacuten en
Filipinas
53
DDoS contra Yahoo Amazon y Zdnet
Muacuteltiples problemas por virus desde
entonces
Target (Robo de informacioacuten de clientes
Identidad y datos financieros)
Juegos del Hambre
Ataque a Sony (Cyberterrorismo) y la
Respuesta con el apagoacuten de internet a
Korea del Norte
Carnabank (Europa oriental europa
occidental EEUU Panamaacute)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
Ejemplos de Criacutemenes Electroacutenicos
Algunas Clases de Ataques
Negacioacuten de Servicio (DoS)
Robo de contrasentildeas
Robo de identidad
Ingenieriacutea social
Defacement
FraudePirateriacutea de
softwareDumpster
divingCoacutedigo
MaliciosoIP spoofing
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 54
Algunas Clases de Ataques
EspionajeDestruccioacuten o alteracioacuten de informacioacuten
Uso de scripts de ataque
desarrolladosPhishing
Ciber -Terrorismo
War DialingWar
DrivingWalkingWar Chalking
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 55
El Caso Carbanak 1MMMUS$
La banda delictiva ciberneacutetica CARBANAK roba mil millones de doacutelares de 100 instituciones financieras en todo el mundo Kaspersky Lab la INTERPOL EUROPOL y autoridades de diferentes paiacuteses han unido sus fuerzas para dejar al descubierto el complot delictivo de un robo ciberneacutetico sin precedentes Hasta mil millones de doacutelares americanos fueron robados en cerca de dos antildeos de instituciones financieras en todo el mundo Los expertos informan que la responsabilidad del robo recae en una banda multinacional de ciberdelincuentesde Rusia Ucrania y otras partes de Europa asiacute como de China
La banda CARBANAK responsable del robo ciberneacutetico utilizoacute teacutecnicas extraiacutedas del arsenal de los ataques selectivos El complot marca el inicio de una nueva etapa en la evolucioacuten de la actividad de delincuencia ciberneacutetica donde usuarios maliciosos roban dinero directamente de los bancos y evitan concentrar sus ataques en los usuarios finales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 56
Comunicado de prensa 160215 - Karpersky
5705062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
MALWARE
El malware es un tipo de software que tiene como objetivo infiltrarse o dantildear un ordenador sistema de informacioacuten sin el consentimiento de su propietario
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 58
POPUP
bull Un pop-up es un tipo de ventana web que aparece delante de la ventana de un navegador al visitar una paacutegina web
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 59
VOLVER
ADWARE
bull Un programa de clase adware es cualquier programa que automaacuteticamente muestra publicidad web al usuario durante su instalacioacuten o durante su uso para generar lucro a sus autores
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 60
SPAM
bull Se llama spam correo basura a los mensajes no solicitados no deseados o de remitente no conocido habitualmente de tipo publicitario generalmente enviados
en grandes cantidades que perjudican al receptor
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 61
Bomba Loacutegica
Son programas informaacuteticos que se instala en un ordenador y permanece oculto hasta cumplirse una o maacutes condiciones preprogramadas para en ese momento ejecutar una accioacuten
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 62
volver
VIRUS DE MACROS
bull Es una secuencia de oacuterdenes de teclado y ratoacuten asignadas a una sola tecla Los virus de macros afectan a archivos y plantillas que los contienen hacieacutendose pasar por una macro y no actuaraacuten hasta que el archivo se abra o utilice
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 63
VOLVER
VIRUS RESIDENTES
bull Se colocan automaacuteticamente en la memoria RAM del ordenador De este modo pueden controlar e interceptar todas las operaciones llevadas a cabo por el sistema operativo infectando todos aquellos ficheros yo programas que sean ejecutados abiertos cerrados renombrados copiados etc
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 64
VIRUS DE ENLACE
bull Modifican las direcciones que permiten a nivel interno acceder a cada uno de los archivos existentes y como consecuencia no es posible localizarlos y trabajar con ellos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 65
VOLVER
VIRUS MUTANTES
bull Son virus que mutan es decir x Debido a estas mutaciones cada generacioacuten de virus es diferente a la versioacuten anterior dificultando asiacute su deteccioacuten y eliminacioacuten
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 66
VIRUS DE BOOT
bull Se activan en el momento en el que se arranca el ordenador desde un disco infectado ya sea desde el disco duro o desde una memoria USB
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 67
VOLVER
VIRUS DE PROGRAMA
bull Comuacutenmente infectan archivos con extensiones EXE COM OVL DRV BIN DLL y SYS
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 68
VOLVER
VIRUS DE SOBREESCRITURA
bull Sobre-escriben en el interior de los archivos atacados haciendo que se pierda el contenido de los mismos
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 69
Ataques de Seguridad
bull Spyware Es un software de computadoraque al instalarse intercepta o toma controlparcial de la interaccioacuten de lacomputadora y el usuario esto sin que elmismo se de cuenta Estos programaspueden recolectar diferentes tipos deinformacioacuten de los usuarios asiacute comoinstalar software adicional sin elconsentimiento de los mismos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 70
71
Herramientas de Seguridad
bull Gusano Es un programa de computadora quepuede replicarse a si mismo utiliza la red paraenviar copias de si mismo a otros nodos y lopuede hacer sin la intervencioacuten del usuario
A diferencia de los ldquovirusrdquo los gusanos nonecesitan estar amarrados a un programa y sufuncioacuten es principalmente dantildear la red (ejdesempentildeo) mientras que los virus dantildeanarchivos en computadoras
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
72
Ataques de Seguridad
bull Caballo de Troya Es una programa que seinstala bajo la creencia de que se estainstalando alguna otra cosa Los troyanosson programas muy utilizados parainstalar programas tipo ldquobackdoorsrdquo quepermiten el acceso no autorizado a lacomputadora atacada un ejemplo deprogramas tipo backdoor son losKeyloogers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
73
Ataques de Seguridad
bull DoS Denial of service- Ataques quehacen indisponible un servicio a losusuarios
bull DDoS Son conocidos como DNSBackbone Distributed Denial ofServices ndash Ataques tienen comoblanco los servidores raiacutez DNS por lotanto afectan uno de los pilares delInternet los nombres de los dominios
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
74
Ataques de Seguridad
bull Footprinting Teacutecnica utilizada para reunir informacioacuten acerca de sistemas computacionales y las entidades a las que pertenece algunos ejemplos son
- Domain queries
- Network queries
- Organizational queries
- TCP scans
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
75
Ataques de Seguridad
bull Fingerprinting Tambieacuten es conocidocomo TCPIP stack fingerprinting y esutilizado para determinar que sistemaoperativo utiliza alguacuten blanco en la redExiste dos tipos de fingerprinting
- Pasivo- Activo
NMAP es una herramienta que utilizafingerprinting activo para mapearpuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
76
Ataques de Seguridad
bull Escaneo de puertos El escaneo depuertos se basa en el FingerprintingActivo es decir transmite y recibesentildeales como ICMP TELNET SNMPdesde un blanco determinado en lared esto con el fin de obtenerinformacioacuten de dicho blanco en estecaso informacioacuten acerca de suspuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
77
Ataques de Seguridad
bull Sniffing Para llevar a cabo el sniffing esnecesario contar con un ldquopacket snifferrdquoque puede ser software instalado en unacomputadora o un dispositivoindependiente (appliance) estedispositivo es utilizado para interceptar yregistrar traacutefico que pasa a traveacutes de unared o de un segmento de la misma(Puede ser de una red ethernet owireless)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
78
Ataques de Seguridad
bull Spoofing Los ataques tipo spoofing sonaquellos en los que una persona oprograma logra hacerse pasar por otrafalsificando informacioacuten o utilizando laingenieriacutea algunos ataques tipo spoofingson los siguientes
- Falsificacioacuten de direccioacuten de email
- Falsificacioacuten de ID de llamadas telefoacutenicas
- Falsificacioacuten de sitios de internet (phishing)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
79
Ataques de Seguridad
bull Phishing Es el uso de teacutecnicas deingenieriacutea social con la finalidad deadquirir de manera fraudulentainformacioacuten confidencial comonombres de usuarios contrasentildeasinformacioacuten de tarjetas de creacutedito
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
80
Ataques de Seguridad
bull Ingenieriacutea Social Se refiere a unacoleccioacuten de teacutecnicas utilizadas paramanipular a las personas para querealicen alguna accioacuten o divulgueninformacioacuten confidencial
Algunos ingenieros sociales notablesson
- Kevin Mitnik
- Frank Abagnale
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
Ingenieriacutea Social
Es el conjunto de meacutetodos y praacutecticas usados para obtener informacioacuten de usuarios legiacutetimos y con la informacioacuten obtenida lograr acceso a sistemas protegidos siendo esta praacutectica de uso comuacuten entre piratas informaacuteticos y delincuentes computacionales
Coacutemo me afecta Al no validar las referencias o no seguir el protocolo de seguridad adecuado para divulgar contrasentildeas o cualquier otra informacioacuten sensible podemos ser coacutemplices de un crimen Meacutexico ha acordado con organismos internacionales la homologacioacuten yo adecuacioacuten de coacutedigos penales para que estos delitos sean perseguidos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 81
Ingenieriacutea Social
Coacutemo puedo saber si estoy siendo viacutectima de un ingeniero social Muy simple cuando alguien nos pide alguacuten tipo de informacioacuten privilegiada y esta persona es insistente cuando le requerimos seguir un protocolo para validar su intencioacuten es altamente probable que estemos siendo viacutectimas de un intento de robo de informacioacuten por un ingeniero socialhacker
Coacutemo puedo evitarlo Sencillo si no confiamos en la persona que nos solicita los datos (supongamos un teacutecnico de soporte de nuestro lugar de trabajo) podemos pedirle que nos deje sus datos y comunicarnos con el 10 minutos despueacutes de validar que la peticioacuten es legiacutetima es decir soacutelo sigamos los protocolos que existen en el trabajo y crear los propios en casa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 82
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra los Sistemas que Utilizan Tecnologiacuteas de Informacioacuten
bull Artiacuteculo 6 Acceso indebido
bull Artiacuteculo 7 Sabotaje o dantildeo a sistemas
bull Artiacuteculo 8 Favorecimiento culposo del sabotaje o dantildeo
bull Artiacuteculo 9 Acceso indebido o sabotaje a sistemas protegidos
bull Artiacuteculo 10 Posesioacuten de equipos o prestacioacuten de servicios de sabotaje
bull Artiacuteculo 11 Espionaje informaacutetico
bull Artiacuteculo 12 Falsificacioacuten de documentos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 83
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Propiedad
bull Artiacuteculo 13 Hurto
bull Artiacuteculo 14 Fraude
bull Artiacuteculo 15 Obtencioacuten indebida de bienes o servicios
bull Artiacuteculo 16 Manejo fraudulento de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 17 Apropiacioacuten de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 18 Provisioacuten indebida de bienes o servicios
bull Artiacuteculo 19 Posesioacuten de equipo para falsificaciones
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 84
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Privacidad de las Personas y de las Comunicaciones
bullArtiacuteculo 20 Violacioacuten de la privacidad de la data o informacioacuten de caraacutecter personal
bullArtiacuteculo 21 Violacioacuten de la privacidad de las comunicaciones
bullArtiacuteculo 22 Revelacioacuten indebida de data o informacioacuten de caraacutecter personal
De los Delitos Contra Nintildeos Nintildeas o Adolescentes
bullArtiacuteculo 23 Difusioacuten o exhibicioacuten de material pornograacutefico
bullArtiacuteculo 24 Exhibicioacuten pornograacutefica de nintildeos o adolescentes
De los Delitos Contra el Orden Econoacutemico
bullArtiacuteculo 25 Apropiacioacuten de propiedad intelectual
bullArtiacuteculo 26 Oferta engantildeosa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 85
Plan de Contingencia Continuidad Operacional
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 86
Plan de Contingencia
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 87
ldquoConjunto de Normas y Procedimientos documentadosy comunicados que tienen por objetivo minimizar los riesgos informaacuteticos mas probablesrdquo
InvolucrabullUso de herramientas
bullCumplimiento de Tareas por
parte de personas
Plan de Contingencia
Consta de tres subplanes independientes
bull Plan de Respaldo crear y conservar en un lugar seguro copias de seguridad de la informacioacuten
bull Pla de Emergencia queacute medidas tomar cuando se estaacute materializando una amenaza o cuando acaba de producirse
bull Plan de Recuperacioacuten medidas que se aplicaran cuando se ha producido un desastre El objetivo es evaluar el impacto y regresar lo antes posible
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 88
Plan de Contingencia
En la elaboracioacuten de este plan no se puede dejar por fuera a los miembros de la organizacioacuten el cual debe estar informado y entrenado para actuar en las funciones que le hayan sido encomendadas en caso de producirse una amenaza o impacto
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 89
Continuidad Operacional
Business Continuity Planning (Plan de Continuidad de negocios)
bull Plan Baacutesico
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Coldsite)
bull Plan Intermedio
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan Alto
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan de respuesta y continuidad de negocios alternativo (sin asistencia de sistemas)
bull Stress Testing al Plan
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 90
El Stress Testing
bull Poner a prueba el planbull Revise y evalueacute
bull Respaldosbull Oportunidad integridad y funcionalidadbull Custodia y transporte
bull Cold y Hotsitebull Funcionalidad accesibilidad y compatibilidadbull Actualizacioacuten oportuna (hotsite)
bull Personalbull Roles y funcionesbull Accesibilidad (contactos y comunicaciones)
bull Simulacioacuten de cataacutestrofesbull Sin previo aviso el director encargado del BCP se presenta en el centro de computo
cronometro en mano y baja la cuchilla de electricidad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 91
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de Lehman Brothers
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el WorldTrade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehman se desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del World Trade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehman teniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 92
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de LehmanBrothers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 93
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el World Trade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehmanse desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 94
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del WorldTrade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehmanteniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 95
La Contingencia Manual la Uacuteltima Frontera
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 96
05062015 97
DATOS BAacuteSICOS
Responsable A Nivel Corporativo Responsable(s) A Nivel Regional
PROVEEDOR (ES)
Origen Responsable Insumo (s)
RESULTADOS
Normas y Procedimientos Asociados Fecha uacuteltima revisioacuten Sistemas Aplicaciones Asociadas
Proceso
CALIFICACIOacuteN DE CONTROLES DE ENTRADA
Actividad
RECOMENDACIONES
Procesamiento
Automaacutetico (A)Manual (M)
Frecuencia
Adiestramiento Proceso Sistema N y P Otros
Negocio Area Localidad
Responsable
Nombre CargoNombre Cargo
NOMBRE
ELABORADO POR
CARGO FIRMA
Calidad de Data (B) Buena (R) Regular (M) Mala Oportunidad (AT) A Tiempo (R) Retrasada Revisioacuten Aprobacioacuten (S) Si (N) NoLEYENDA
Calificacioacuten (F) Fuerte (M) Medio (B) Bajo
DescripcioacutenResponsableDescripcioacuten
Tarea
Descripcioacuten
FRECUENCIA DE LA TAREA Diaria (D) Semanal (S) Mensual (M) Trimestral (T) Anual (A) Ocasional (O)
Soportes Recepcioacuten (P) Papel (E) Electroacutenico Archivo (S) Si (N) No Soportes Enviacuteo (S) Si (N) No Backup (S) Si (N) No
Producto (s) Cliente ReceptorControl
de salida
SoportesFrecuencia
Recepcioacuten Backup
DOCUMENTOS SISTEMAS ASOCIADOS A LOS CONTROLES
CALIFICACIOacuteN DE CONTROLES (por parte del Cliente Receptor)
Revisioacuten
Aprobacioacuten
Revisioacuten
AprobacioacutenTipo de control
Procesamiento
Automaacutetico (A)Manual (M)
Control
De EntradaTipo de control
Soportes
Recepcioacuten Archivo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 98
DATOS BAacuteSICOS
TareaActividad
Proceso Responsable del Proceso
Fecha de Elaboracioacuten 2015
Accioacuten (es) Responsable (s)
OBSERVACIONES ELABORADO POR
FIRMA
NOMBRE
Plan de recuperacioacuten y Reactivacioacuten de Finanzas
Recomendaciones Acciones
La Cadena de Valor de una Organizacioacuten de Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 99
ASESORAR EN CONTROLES DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR DELEGACIONES FINANCIERAS
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
CONTROLAR SEGURIDAD SISTEMA
OPERACIONALES ADMINISTRATIVOS Y OTROS
SISTEMAS FINANCIEROS
DESARROLLAR CONTROLES
DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR Y DESARROLLAR PLAN INTEGRAL DE CONTROL ( PIC )
Asesorar en controles de procesos normas y
Procedimientos
Administrar delegaciones financieras
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
Controlar seguridad sistema
operacionales administrativos y otros
sistemas financieros
Desarrollar
controles de
procesos
normas y
procedimientos
Administrar y desarrollar plan integral de control ( PIC )
Responsabilidad de la Gerencia
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 22
Seguridad Informaacutetica ISOIEC 27001
ldquoLa seguridad informaacutetica consiste en la implantacioacuten de un conjunto de medidas teacutecnicas destinadas a preservar la confidencialidad la integridad y la disponibilidad de la informacioacuten pudiendo ademaacutes abarcar otras propiedades como la autenticidad la responsabilidad la fiabilidad y el no repudiordquo
Es la definicioacuten ofrecida por el estaacutendar para la seguridad de la informacioacuten ISOIEC 27001 aprobado y publicado en octubre de 2005 por la International Organization for Standardization (ISO) y por la comisioacuten International Electrotechnical Commission (IEC)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 23
Estructura Organizacional
Poliacutetica de Seguridad
Organizacioacuten de la Seguridad de la Informacioacuten
Gestioacuten de Activos Control de Acceso
Cumplimiento Conformidad Informacioacuten de gestioacuten de incidentes de seguridad
Seguridad de los recursos humanos
Gestioacuten de continuidad del negocio
Sistemas de Informacioacuten de adquisicioacuten desarrollo y mantenimiento
Comunicacioacuten y gestioacuten de operaciones
Seguridad fiacutesica y ambiental
Los 11 dominios de la ISOIEC 27001bull Poliacutetica de Seguridadbull Organizacioacuten de la seguridad de la
informacioacutenbull Gestioacuten de Activosbull Seguridad de los recursos humanosbull Seguridad fiacutesica y ambientalbull Comunicacioacuten y gestioacuten de
operacionesbull Control de accesobull Sistemas de informacioacuten de
adquisicioacuten desarrollo y mantenimiento
bull Informacioacuten de gestioacuten de incidentes de seguridad
bull Gestioacuten de continuidad del negociobull Cumplimiento Conformidad
Gerencia
Operaciones
Leyenda
Aspectos Gerenciales
Aspectos Teacutecnicos
Aspectos Fiacutesicos
Riesgos Amenazas
VulnerabilidadesGestioacuten de Riesgos en TI
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 25
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 26
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 27
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
DE ATAQUES INTERNOS PARA DANtildeAR DATOS O SISTEMAS FRAUDES ERRORES EN EL MANEJO DE
SISTEMAS
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 28
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 29
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 30
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 31
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Seguridad Informaacutetica a Nivel de Usuarios
bull Los usuarios se acostumbran a usar la tecnologiacutea sin saber como funciona o de los riesgos que pueden correr
bull Son el punto de entrada de muchos de los problemas croacutenicos
bull Son ldquoEl eslaboacuten maacutes deacutebilrdquo en la cadena de seguridad
Usuarios comunes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 32
Seguridad Informaacutetica a Nivel de Usuarios
bull Principio del MENOR PRIVILEGIO POSIBLE
bull EDUCAR AL USUARIO
Dos enfoques para
controlarlos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 33
Seguridad Informaacutetica a Nivel de Usuarios
Principio del MENOR PRIVILEGIO POSIBLE Implica seguridad de
acceso al sistema (usuario password perfiles de usuario de
manera transaccional ndash seguridad por posicioacuten workflow)
bull Reducir la capacidad de accioacuten del usuario sobre los sistemas
bull Objetivo Lograr el menor dantildeo posible en caso de incidentes
Administracioacuten de privilegios
bull Usuarios uacutenicos e intransferibles
bull Procesos de desactivacioacuten de cuentas y activacioacuten del reemplazo (en periacuteodos vacacionales y de reposos)
bull Administracioacuten de claves de acceso
bull Alfanumeacutericas + caracteres especiales + mayuacutesculas minuacutesculas
bull Caducidad
bull Bloqueo por intentos fallidos
bull Prohibicioacuten de palabras y datos de uso comuacuten o asociadas al usuario
bull Reseteo de clave de forma automaacutetica con preguntas de desafiacuteo (pe usando datos encriptados que solo el usuario conoce como fecha de ingreso a la empresa)
bull Perfil de usuario
bull De acuerdo a la actividad y delegacioacuten de autoridad de acuerdo a su posicioacuten y responsabilidades
bull Esquemas de proteccioacuten de datos e informacioacuten (Privado Confidencial y Estrictamente Privado y Confidencial) seguacuten la posicioacuten y actividades (previendo delincuencia comuacuten o DDOO)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 34
Seguridad Informaacutetica a Nivel de Usuarios
EDUCAR AL USUARIO
bull Documentar y publicar todas las normas y procedimientos asociados
bull Generar una cultura de seguridad El usuario ayuda a reforzar y aplicar los mecanismos de seguridad
bull Objetivo Reducir el nuacutemero de incidentes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 35
Adicionales a los que ya
se mostroacute para
usuarios comunes se
debe
bull Seguridad de acceso a las instalaciones (aacuterea de desarrollo y aacuterea de servidores o main frame)
bull Poliacutetica de respaldo de informacioacuten y programas que incluyan backups in situ outside a modo copia espejo e incremental (solo variaciones)
bull Poliacuteticas de sustraccioacuten de datos incluyendo el uso de CDROM y Pendrivers (Wikiliks)
bull Crear ambientes de desarrollo de software aislados de los ambientes de produccioacuten (operaciones de la empresa) y de prueba Crear ambientes de prueba con participacioacuten funcional
bull Crear protocolos de procesos de cambio (implantacioacuten de sistemas actualizacioacuten de software incluidos los sistemas operativos) que incluyan respaldo total de programas y datos a modo espejo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 36
Seguridad Informaacutetica a Nivel de Usuarios
Vulnerabilidad
bull En un sistema informaacutetico lo que queremos proteger son sus activos es decir los recursos que forman parte del sistema y que podemos agrupar enbull - Hardware - Software
bull - Datos - Otros
bull Los mas criacuteticos son los datos el hardware y el software Es decir los datos que estaacuten almacenados en el hardware y que son procesados por las aplicaciones software
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 37
Vulnerabilidad
bull Es la debilidad de cualquier tipo que compromete la seguridad del sistema informaacutetico
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 38
Disentildeobull Debilidad en el disentildeo de protocolos utilizados en las redes
bull Poliacuteticas de seguridad deficientes e inexistentes
Implementacioacuten
bull Errores de programacioacuten
bull Existencia de ldquopuertas traserasrdquo en los sistemas informaacuteticos
bull Descuido de los fabricantes
Uso
bull Mala configuracioacuten de los sistemas informaacuteticos
bull Desconocimiento y falta de sensibilizacioacuten de los usuarios y de los responsables de informaacutetica
bull Disponibilidad de herramientas que facilitan los ataques
bull Limitacioacuten gubernamental de tecnologiacuteas de seguridad
Vulnerabilidades conocidas
bull Firewall
bull Antivirus
bull Malware
bull Antispy
bull Protocolos de encriptacioacuten
bull Firmas digitales
bull Monitoreo de redes (Comunity Manager)
Consisten en ataques
intercepciones de datos y enviacuteo de
informacioacuten usurpando identidad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 39
Vulnerabilidades
bull Ataques contra el flujo de la informacioacuten FLUJO NORMAL
Los mensajes en una red se enviacutean a partir de un emisor a uno o varios receptores
El atacante es un tercer elemento en la realidad existen millones de elementos atacantesintencionales o accidentales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 40
Emisor Receptor
Atacante
bull INTERRUPCIONbull El mensaje no puede llegar a su destino un recurso del sistema es destruido o
temporalmente inutilizado
bull Este es un ataque contra la Disponibilidad
bull Ejemplos Destruccioacuten de una pieza de hardware cortar los medios de comunicacioacuten o deshabilitar los sistemas de administracioacuten de archivos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 41
Vulnerabilidades
Emisor
Atacante
Receptor
Vulnerabilidades
bull INTERCEPCIONbull Una persona computadora o programa sin autorizacioacuten logra el acceso a un
recurso controlado
bull Es un ataque contra la Confidencialidad
bull Ejemplos Escuchas electroacutenicos copias iliacutecitas de programas o datos escalamiento de privilegios
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 42
Emisor
Atacante
Receptor
Vulnerabilidades
bull MODIFICACIONbull La persona sin autorizacioacuten ademaacutes de lograr el acceso modifica el mensaje
bull Este es un ataque contra la Integridad
bull Ejemplos Alterar la informacioacuten que se transmite desde una base de datos modificar los mensajes entre programas para que se comporten diferente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 43
bull FABRICACIONbull Una persona sin autorizacioacuten inserta objetos falsos en el sistemabull Es un ataque contra la Autenticidadbull Ejemplos Suplantacioacuten de identidades robo de sesiones robo de contrasentildeas
robo de direcciones IP etcbull Es muy difiacutecil estar seguro de quieacuten esta al otro lado de la liacutenea
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 44
Vulnerabilidades
Emisor
Atacante
Receptor
iquestQuienes Atacan los Sistemas
Gobiernos Extranjeros
Espiacuteas industriales o poliacuteticos
Criminales
Empleados descontentos y abusos internos
Adolescentes sin nada que hacer
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 45
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 46
Estado del ataque Ejemplo de Acciones
1-Buacutesqueda de Ingreso Correr un scanner de puertos
2-Penetracioacuten Explorar un sistema sin parches de seguridad
3-Elevacioacuten de Privilegios Lograr cuenta de Administrador
5-Enmascaramiento Borrado de rastros del ingreso y ataque
4-Ataque en si mismo Robo de datos destruccioacuten del sitio web etc
INTRUSO
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 47
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 48
Actuacioacuten del Criminal
bull Se requieren talentos especiales
bull El fraude ha crecido gracias a la aparicioacuten de las computadoras
Mitos
bull Dinero
bull Satisfaccioacuten (egocentrismo)
bull Ideologiacutea
bull Psicosis
Motivaciones personales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 49
bull Ambiente de trabajo
bull Prestaciones
bull Nivel de confianza interpersonal
bull Eacutetica ambiental
bull Nivel de stress
bull AMBIENTE DE CONTROL INTERNO
Motivaciones ambientales
Ethical Hacking
Es una intrusioacuten eacutetica es la aplicacioacuten de herramientas de intrusioacuten penetracioacuten robo personificacioacuten y negacioacuten de servicio llevado a cabo por hackers eacuteticos es decir personas con la experiencia y conocimiento suficiente para llevar a cabo estas pruebas en nombre de la organizacioacuten es decir de manera legal y prevista para determinar el nivel de seguridad de una red de equipos o servicios (incluido el aspecto de ingenieriacutea social)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 50
Ethical Hacking
bull al conocer el nivel de seguridad que se tiene en nuestra organizacioacuten es mucho maacutes sencillo no simple el tomar medidas que puedan subsanar estas deficienciasiquestPor queacute es
Importante
bull No al usar las armas que el enemigo usa es maacutes factible que podamos determinar el nivel de riesgo y por tanto la respuesta que debemos dar ante un ataque vieacutendolo como analogiacutea meacutedica es como cuando nos vacunan pues nos inoculan una versioacuten del virus del cual nos quieren hacer inmunes
iquestNo es contraproducente
bull Al contratar un servicio o realizarlo de manera interna estamos confiando en la eacutetica profesional de quien evaluacutea por lo que siacute siempre llevamos un riesgo pero se establece un contrato de buena fe hacieacutendolo suficientemente fiable (asegurando)iquestEs fiable
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 51
Ejemplos de Criacutemenes Electroacutenicos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 52
Ataque en 1986 de alemanes trabajando para la KGB contra sistemas estrateacutegicos de EEUU (Clifford Stoll Cuckooacutes egg)
El gusano Morris que se propagoacute por internet en 1988
causando un problema de DoS La causa fue la interrupcioacuten
causada por un programa escrito por Robert Tappan Morris
414 Gang enviacutea ataques contra los registros meacutedicos del
hospital para enfermos de caacutencer Sloan-Kettering
Ataques de Kevin Mitnick 1989-1996
Penetracioacuten de la red de Microsoft en octubre de 2000
por un cracker que ganoacute acceso a programas en desarrollo
Esparcimiento del Love Letter difundido por Onel Guzmaacuten en
Filipinas
53
DDoS contra Yahoo Amazon y Zdnet
Muacuteltiples problemas por virus desde
entonces
Target (Robo de informacioacuten de clientes
Identidad y datos financieros)
Juegos del Hambre
Ataque a Sony (Cyberterrorismo) y la
Respuesta con el apagoacuten de internet a
Korea del Norte
Carnabank (Europa oriental europa
occidental EEUU Panamaacute)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
Ejemplos de Criacutemenes Electroacutenicos
Algunas Clases de Ataques
Negacioacuten de Servicio (DoS)
Robo de contrasentildeas
Robo de identidad
Ingenieriacutea social
Defacement
FraudePirateriacutea de
softwareDumpster
divingCoacutedigo
MaliciosoIP spoofing
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 54
Algunas Clases de Ataques
EspionajeDestruccioacuten o alteracioacuten de informacioacuten
Uso de scripts de ataque
desarrolladosPhishing
Ciber -Terrorismo
War DialingWar
DrivingWalkingWar Chalking
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 55
El Caso Carbanak 1MMMUS$
La banda delictiva ciberneacutetica CARBANAK roba mil millones de doacutelares de 100 instituciones financieras en todo el mundo Kaspersky Lab la INTERPOL EUROPOL y autoridades de diferentes paiacuteses han unido sus fuerzas para dejar al descubierto el complot delictivo de un robo ciberneacutetico sin precedentes Hasta mil millones de doacutelares americanos fueron robados en cerca de dos antildeos de instituciones financieras en todo el mundo Los expertos informan que la responsabilidad del robo recae en una banda multinacional de ciberdelincuentesde Rusia Ucrania y otras partes de Europa asiacute como de China
La banda CARBANAK responsable del robo ciberneacutetico utilizoacute teacutecnicas extraiacutedas del arsenal de los ataques selectivos El complot marca el inicio de una nueva etapa en la evolucioacuten de la actividad de delincuencia ciberneacutetica donde usuarios maliciosos roban dinero directamente de los bancos y evitan concentrar sus ataques en los usuarios finales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 56
Comunicado de prensa 160215 - Karpersky
5705062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
MALWARE
El malware es un tipo de software que tiene como objetivo infiltrarse o dantildear un ordenador sistema de informacioacuten sin el consentimiento de su propietario
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 58
POPUP
bull Un pop-up es un tipo de ventana web que aparece delante de la ventana de un navegador al visitar una paacutegina web
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 59
VOLVER
ADWARE
bull Un programa de clase adware es cualquier programa que automaacuteticamente muestra publicidad web al usuario durante su instalacioacuten o durante su uso para generar lucro a sus autores
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 60
SPAM
bull Se llama spam correo basura a los mensajes no solicitados no deseados o de remitente no conocido habitualmente de tipo publicitario generalmente enviados
en grandes cantidades que perjudican al receptor
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 61
Bomba Loacutegica
Son programas informaacuteticos que se instala en un ordenador y permanece oculto hasta cumplirse una o maacutes condiciones preprogramadas para en ese momento ejecutar una accioacuten
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 62
volver
VIRUS DE MACROS
bull Es una secuencia de oacuterdenes de teclado y ratoacuten asignadas a una sola tecla Los virus de macros afectan a archivos y plantillas que los contienen hacieacutendose pasar por una macro y no actuaraacuten hasta que el archivo se abra o utilice
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 63
VOLVER
VIRUS RESIDENTES
bull Se colocan automaacuteticamente en la memoria RAM del ordenador De este modo pueden controlar e interceptar todas las operaciones llevadas a cabo por el sistema operativo infectando todos aquellos ficheros yo programas que sean ejecutados abiertos cerrados renombrados copiados etc
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 64
VIRUS DE ENLACE
bull Modifican las direcciones que permiten a nivel interno acceder a cada uno de los archivos existentes y como consecuencia no es posible localizarlos y trabajar con ellos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 65
VOLVER
VIRUS MUTANTES
bull Son virus que mutan es decir x Debido a estas mutaciones cada generacioacuten de virus es diferente a la versioacuten anterior dificultando asiacute su deteccioacuten y eliminacioacuten
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 66
VIRUS DE BOOT
bull Se activan en el momento en el que se arranca el ordenador desde un disco infectado ya sea desde el disco duro o desde una memoria USB
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 67
VOLVER
VIRUS DE PROGRAMA
bull Comuacutenmente infectan archivos con extensiones EXE COM OVL DRV BIN DLL y SYS
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 68
VOLVER
VIRUS DE SOBREESCRITURA
bull Sobre-escriben en el interior de los archivos atacados haciendo que se pierda el contenido de los mismos
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 69
Ataques de Seguridad
bull Spyware Es un software de computadoraque al instalarse intercepta o toma controlparcial de la interaccioacuten de lacomputadora y el usuario esto sin que elmismo se de cuenta Estos programaspueden recolectar diferentes tipos deinformacioacuten de los usuarios asiacute comoinstalar software adicional sin elconsentimiento de los mismos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 70
71
Herramientas de Seguridad
bull Gusano Es un programa de computadora quepuede replicarse a si mismo utiliza la red paraenviar copias de si mismo a otros nodos y lopuede hacer sin la intervencioacuten del usuario
A diferencia de los ldquovirusrdquo los gusanos nonecesitan estar amarrados a un programa y sufuncioacuten es principalmente dantildear la red (ejdesempentildeo) mientras que los virus dantildeanarchivos en computadoras
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
72
Ataques de Seguridad
bull Caballo de Troya Es una programa que seinstala bajo la creencia de que se estainstalando alguna otra cosa Los troyanosson programas muy utilizados parainstalar programas tipo ldquobackdoorsrdquo quepermiten el acceso no autorizado a lacomputadora atacada un ejemplo deprogramas tipo backdoor son losKeyloogers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
73
Ataques de Seguridad
bull DoS Denial of service- Ataques quehacen indisponible un servicio a losusuarios
bull DDoS Son conocidos como DNSBackbone Distributed Denial ofServices ndash Ataques tienen comoblanco los servidores raiacutez DNS por lotanto afectan uno de los pilares delInternet los nombres de los dominios
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
74
Ataques de Seguridad
bull Footprinting Teacutecnica utilizada para reunir informacioacuten acerca de sistemas computacionales y las entidades a las que pertenece algunos ejemplos son
- Domain queries
- Network queries
- Organizational queries
- TCP scans
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
75
Ataques de Seguridad
bull Fingerprinting Tambieacuten es conocidocomo TCPIP stack fingerprinting y esutilizado para determinar que sistemaoperativo utiliza alguacuten blanco en la redExiste dos tipos de fingerprinting
- Pasivo- Activo
NMAP es una herramienta que utilizafingerprinting activo para mapearpuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
76
Ataques de Seguridad
bull Escaneo de puertos El escaneo depuertos se basa en el FingerprintingActivo es decir transmite y recibesentildeales como ICMP TELNET SNMPdesde un blanco determinado en lared esto con el fin de obtenerinformacioacuten de dicho blanco en estecaso informacioacuten acerca de suspuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
77
Ataques de Seguridad
bull Sniffing Para llevar a cabo el sniffing esnecesario contar con un ldquopacket snifferrdquoque puede ser software instalado en unacomputadora o un dispositivoindependiente (appliance) estedispositivo es utilizado para interceptar yregistrar traacutefico que pasa a traveacutes de unared o de un segmento de la misma(Puede ser de una red ethernet owireless)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
78
Ataques de Seguridad
bull Spoofing Los ataques tipo spoofing sonaquellos en los que una persona oprograma logra hacerse pasar por otrafalsificando informacioacuten o utilizando laingenieriacutea algunos ataques tipo spoofingson los siguientes
- Falsificacioacuten de direccioacuten de email
- Falsificacioacuten de ID de llamadas telefoacutenicas
- Falsificacioacuten de sitios de internet (phishing)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
79
Ataques de Seguridad
bull Phishing Es el uso de teacutecnicas deingenieriacutea social con la finalidad deadquirir de manera fraudulentainformacioacuten confidencial comonombres de usuarios contrasentildeasinformacioacuten de tarjetas de creacutedito
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
80
Ataques de Seguridad
bull Ingenieriacutea Social Se refiere a unacoleccioacuten de teacutecnicas utilizadas paramanipular a las personas para querealicen alguna accioacuten o divulgueninformacioacuten confidencial
Algunos ingenieros sociales notablesson
- Kevin Mitnik
- Frank Abagnale
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
Ingenieriacutea Social
Es el conjunto de meacutetodos y praacutecticas usados para obtener informacioacuten de usuarios legiacutetimos y con la informacioacuten obtenida lograr acceso a sistemas protegidos siendo esta praacutectica de uso comuacuten entre piratas informaacuteticos y delincuentes computacionales
Coacutemo me afecta Al no validar las referencias o no seguir el protocolo de seguridad adecuado para divulgar contrasentildeas o cualquier otra informacioacuten sensible podemos ser coacutemplices de un crimen Meacutexico ha acordado con organismos internacionales la homologacioacuten yo adecuacioacuten de coacutedigos penales para que estos delitos sean perseguidos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 81
Ingenieriacutea Social
Coacutemo puedo saber si estoy siendo viacutectima de un ingeniero social Muy simple cuando alguien nos pide alguacuten tipo de informacioacuten privilegiada y esta persona es insistente cuando le requerimos seguir un protocolo para validar su intencioacuten es altamente probable que estemos siendo viacutectimas de un intento de robo de informacioacuten por un ingeniero socialhacker
Coacutemo puedo evitarlo Sencillo si no confiamos en la persona que nos solicita los datos (supongamos un teacutecnico de soporte de nuestro lugar de trabajo) podemos pedirle que nos deje sus datos y comunicarnos con el 10 minutos despueacutes de validar que la peticioacuten es legiacutetima es decir soacutelo sigamos los protocolos que existen en el trabajo y crear los propios en casa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 82
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra los Sistemas que Utilizan Tecnologiacuteas de Informacioacuten
bull Artiacuteculo 6 Acceso indebido
bull Artiacuteculo 7 Sabotaje o dantildeo a sistemas
bull Artiacuteculo 8 Favorecimiento culposo del sabotaje o dantildeo
bull Artiacuteculo 9 Acceso indebido o sabotaje a sistemas protegidos
bull Artiacuteculo 10 Posesioacuten de equipos o prestacioacuten de servicios de sabotaje
bull Artiacuteculo 11 Espionaje informaacutetico
bull Artiacuteculo 12 Falsificacioacuten de documentos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 83
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Propiedad
bull Artiacuteculo 13 Hurto
bull Artiacuteculo 14 Fraude
bull Artiacuteculo 15 Obtencioacuten indebida de bienes o servicios
bull Artiacuteculo 16 Manejo fraudulento de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 17 Apropiacioacuten de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 18 Provisioacuten indebida de bienes o servicios
bull Artiacuteculo 19 Posesioacuten de equipo para falsificaciones
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 84
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Privacidad de las Personas y de las Comunicaciones
bullArtiacuteculo 20 Violacioacuten de la privacidad de la data o informacioacuten de caraacutecter personal
bullArtiacuteculo 21 Violacioacuten de la privacidad de las comunicaciones
bullArtiacuteculo 22 Revelacioacuten indebida de data o informacioacuten de caraacutecter personal
De los Delitos Contra Nintildeos Nintildeas o Adolescentes
bullArtiacuteculo 23 Difusioacuten o exhibicioacuten de material pornograacutefico
bullArtiacuteculo 24 Exhibicioacuten pornograacutefica de nintildeos o adolescentes
De los Delitos Contra el Orden Econoacutemico
bullArtiacuteculo 25 Apropiacioacuten de propiedad intelectual
bullArtiacuteculo 26 Oferta engantildeosa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 85
Plan de Contingencia Continuidad Operacional
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 86
Plan de Contingencia
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 87
ldquoConjunto de Normas y Procedimientos documentadosy comunicados que tienen por objetivo minimizar los riesgos informaacuteticos mas probablesrdquo
InvolucrabullUso de herramientas
bullCumplimiento de Tareas por
parte de personas
Plan de Contingencia
Consta de tres subplanes independientes
bull Plan de Respaldo crear y conservar en un lugar seguro copias de seguridad de la informacioacuten
bull Pla de Emergencia queacute medidas tomar cuando se estaacute materializando una amenaza o cuando acaba de producirse
bull Plan de Recuperacioacuten medidas que se aplicaran cuando se ha producido un desastre El objetivo es evaluar el impacto y regresar lo antes posible
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 88
Plan de Contingencia
En la elaboracioacuten de este plan no se puede dejar por fuera a los miembros de la organizacioacuten el cual debe estar informado y entrenado para actuar en las funciones que le hayan sido encomendadas en caso de producirse una amenaza o impacto
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 89
Continuidad Operacional
Business Continuity Planning (Plan de Continuidad de negocios)
bull Plan Baacutesico
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Coldsite)
bull Plan Intermedio
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan Alto
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan de respuesta y continuidad de negocios alternativo (sin asistencia de sistemas)
bull Stress Testing al Plan
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 90
El Stress Testing
bull Poner a prueba el planbull Revise y evalueacute
bull Respaldosbull Oportunidad integridad y funcionalidadbull Custodia y transporte
bull Cold y Hotsitebull Funcionalidad accesibilidad y compatibilidadbull Actualizacioacuten oportuna (hotsite)
bull Personalbull Roles y funcionesbull Accesibilidad (contactos y comunicaciones)
bull Simulacioacuten de cataacutestrofesbull Sin previo aviso el director encargado del BCP se presenta en el centro de computo
cronometro en mano y baja la cuchilla de electricidad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 91
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de Lehman Brothers
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el WorldTrade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehman se desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del World Trade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehman teniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 92
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de LehmanBrothers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 93
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el World Trade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehmanse desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 94
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del WorldTrade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehmanteniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 95
La Contingencia Manual la Uacuteltima Frontera
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 96
05062015 97
DATOS BAacuteSICOS
Responsable A Nivel Corporativo Responsable(s) A Nivel Regional
PROVEEDOR (ES)
Origen Responsable Insumo (s)
RESULTADOS
Normas y Procedimientos Asociados Fecha uacuteltima revisioacuten Sistemas Aplicaciones Asociadas
Proceso
CALIFICACIOacuteN DE CONTROLES DE ENTRADA
Actividad
RECOMENDACIONES
Procesamiento
Automaacutetico (A)Manual (M)
Frecuencia
Adiestramiento Proceso Sistema N y P Otros
Negocio Area Localidad
Responsable
Nombre CargoNombre Cargo
NOMBRE
ELABORADO POR
CARGO FIRMA
Calidad de Data (B) Buena (R) Regular (M) Mala Oportunidad (AT) A Tiempo (R) Retrasada Revisioacuten Aprobacioacuten (S) Si (N) NoLEYENDA
Calificacioacuten (F) Fuerte (M) Medio (B) Bajo
DescripcioacutenResponsableDescripcioacuten
Tarea
Descripcioacuten
FRECUENCIA DE LA TAREA Diaria (D) Semanal (S) Mensual (M) Trimestral (T) Anual (A) Ocasional (O)
Soportes Recepcioacuten (P) Papel (E) Electroacutenico Archivo (S) Si (N) No Soportes Enviacuteo (S) Si (N) No Backup (S) Si (N) No
Producto (s) Cliente ReceptorControl
de salida
SoportesFrecuencia
Recepcioacuten Backup
DOCUMENTOS SISTEMAS ASOCIADOS A LOS CONTROLES
CALIFICACIOacuteN DE CONTROLES (por parte del Cliente Receptor)
Revisioacuten
Aprobacioacuten
Revisioacuten
AprobacioacutenTipo de control
Procesamiento
Automaacutetico (A)Manual (M)
Control
De EntradaTipo de control
Soportes
Recepcioacuten Archivo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 98
DATOS BAacuteSICOS
TareaActividad
Proceso Responsable del Proceso
Fecha de Elaboracioacuten 2015
Accioacuten (es) Responsable (s)
OBSERVACIONES ELABORADO POR
FIRMA
NOMBRE
Plan de recuperacioacuten y Reactivacioacuten de Finanzas
Recomendaciones Acciones
La Cadena de Valor de una Organizacioacuten de Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 99
ASESORAR EN CONTROLES DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR DELEGACIONES FINANCIERAS
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
CONTROLAR SEGURIDAD SISTEMA
OPERACIONALES ADMINISTRATIVOS Y OTROS
SISTEMAS FINANCIEROS
DESARROLLAR CONTROLES
DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR Y DESARROLLAR PLAN INTEGRAL DE CONTROL ( PIC )
Asesorar en controles de procesos normas y
Procedimientos
Administrar delegaciones financieras
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
Controlar seguridad sistema
operacionales administrativos y otros
sistemas financieros
Desarrollar
controles de
procesos
normas y
procedimientos
Administrar y desarrollar plan integral de control ( PIC )
Seguridad Informaacutetica ISOIEC 27001
ldquoLa seguridad informaacutetica consiste en la implantacioacuten de un conjunto de medidas teacutecnicas destinadas a preservar la confidencialidad la integridad y la disponibilidad de la informacioacuten pudiendo ademaacutes abarcar otras propiedades como la autenticidad la responsabilidad la fiabilidad y el no repudiordquo
Es la definicioacuten ofrecida por el estaacutendar para la seguridad de la informacioacuten ISOIEC 27001 aprobado y publicado en octubre de 2005 por la International Organization for Standardization (ISO) y por la comisioacuten International Electrotechnical Commission (IEC)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 23
Estructura Organizacional
Poliacutetica de Seguridad
Organizacioacuten de la Seguridad de la Informacioacuten
Gestioacuten de Activos Control de Acceso
Cumplimiento Conformidad Informacioacuten de gestioacuten de incidentes de seguridad
Seguridad de los recursos humanos
Gestioacuten de continuidad del negocio
Sistemas de Informacioacuten de adquisicioacuten desarrollo y mantenimiento
Comunicacioacuten y gestioacuten de operaciones
Seguridad fiacutesica y ambiental
Los 11 dominios de la ISOIEC 27001bull Poliacutetica de Seguridadbull Organizacioacuten de la seguridad de la
informacioacutenbull Gestioacuten de Activosbull Seguridad de los recursos humanosbull Seguridad fiacutesica y ambientalbull Comunicacioacuten y gestioacuten de
operacionesbull Control de accesobull Sistemas de informacioacuten de
adquisicioacuten desarrollo y mantenimiento
bull Informacioacuten de gestioacuten de incidentes de seguridad
bull Gestioacuten de continuidad del negociobull Cumplimiento Conformidad
Gerencia
Operaciones
Leyenda
Aspectos Gerenciales
Aspectos Teacutecnicos
Aspectos Fiacutesicos
Riesgos Amenazas
VulnerabilidadesGestioacuten de Riesgos en TI
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 25
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 26
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 27
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
DE ATAQUES INTERNOS PARA DANtildeAR DATOS O SISTEMAS FRAUDES ERRORES EN EL MANEJO DE
SISTEMAS
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 28
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 29
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 30
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 31
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Seguridad Informaacutetica a Nivel de Usuarios
bull Los usuarios se acostumbran a usar la tecnologiacutea sin saber como funciona o de los riesgos que pueden correr
bull Son el punto de entrada de muchos de los problemas croacutenicos
bull Son ldquoEl eslaboacuten maacutes deacutebilrdquo en la cadena de seguridad
Usuarios comunes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 32
Seguridad Informaacutetica a Nivel de Usuarios
bull Principio del MENOR PRIVILEGIO POSIBLE
bull EDUCAR AL USUARIO
Dos enfoques para
controlarlos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 33
Seguridad Informaacutetica a Nivel de Usuarios
Principio del MENOR PRIVILEGIO POSIBLE Implica seguridad de
acceso al sistema (usuario password perfiles de usuario de
manera transaccional ndash seguridad por posicioacuten workflow)
bull Reducir la capacidad de accioacuten del usuario sobre los sistemas
bull Objetivo Lograr el menor dantildeo posible en caso de incidentes
Administracioacuten de privilegios
bull Usuarios uacutenicos e intransferibles
bull Procesos de desactivacioacuten de cuentas y activacioacuten del reemplazo (en periacuteodos vacacionales y de reposos)
bull Administracioacuten de claves de acceso
bull Alfanumeacutericas + caracteres especiales + mayuacutesculas minuacutesculas
bull Caducidad
bull Bloqueo por intentos fallidos
bull Prohibicioacuten de palabras y datos de uso comuacuten o asociadas al usuario
bull Reseteo de clave de forma automaacutetica con preguntas de desafiacuteo (pe usando datos encriptados que solo el usuario conoce como fecha de ingreso a la empresa)
bull Perfil de usuario
bull De acuerdo a la actividad y delegacioacuten de autoridad de acuerdo a su posicioacuten y responsabilidades
bull Esquemas de proteccioacuten de datos e informacioacuten (Privado Confidencial y Estrictamente Privado y Confidencial) seguacuten la posicioacuten y actividades (previendo delincuencia comuacuten o DDOO)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 34
Seguridad Informaacutetica a Nivel de Usuarios
EDUCAR AL USUARIO
bull Documentar y publicar todas las normas y procedimientos asociados
bull Generar una cultura de seguridad El usuario ayuda a reforzar y aplicar los mecanismos de seguridad
bull Objetivo Reducir el nuacutemero de incidentes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 35
Adicionales a los que ya
se mostroacute para
usuarios comunes se
debe
bull Seguridad de acceso a las instalaciones (aacuterea de desarrollo y aacuterea de servidores o main frame)
bull Poliacutetica de respaldo de informacioacuten y programas que incluyan backups in situ outside a modo copia espejo e incremental (solo variaciones)
bull Poliacuteticas de sustraccioacuten de datos incluyendo el uso de CDROM y Pendrivers (Wikiliks)
bull Crear ambientes de desarrollo de software aislados de los ambientes de produccioacuten (operaciones de la empresa) y de prueba Crear ambientes de prueba con participacioacuten funcional
bull Crear protocolos de procesos de cambio (implantacioacuten de sistemas actualizacioacuten de software incluidos los sistemas operativos) que incluyan respaldo total de programas y datos a modo espejo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 36
Seguridad Informaacutetica a Nivel de Usuarios
Vulnerabilidad
bull En un sistema informaacutetico lo que queremos proteger son sus activos es decir los recursos que forman parte del sistema y que podemos agrupar enbull - Hardware - Software
bull - Datos - Otros
bull Los mas criacuteticos son los datos el hardware y el software Es decir los datos que estaacuten almacenados en el hardware y que son procesados por las aplicaciones software
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 37
Vulnerabilidad
bull Es la debilidad de cualquier tipo que compromete la seguridad del sistema informaacutetico
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 38
Disentildeobull Debilidad en el disentildeo de protocolos utilizados en las redes
bull Poliacuteticas de seguridad deficientes e inexistentes
Implementacioacuten
bull Errores de programacioacuten
bull Existencia de ldquopuertas traserasrdquo en los sistemas informaacuteticos
bull Descuido de los fabricantes
Uso
bull Mala configuracioacuten de los sistemas informaacuteticos
bull Desconocimiento y falta de sensibilizacioacuten de los usuarios y de los responsables de informaacutetica
bull Disponibilidad de herramientas que facilitan los ataques
bull Limitacioacuten gubernamental de tecnologiacuteas de seguridad
Vulnerabilidades conocidas
bull Firewall
bull Antivirus
bull Malware
bull Antispy
bull Protocolos de encriptacioacuten
bull Firmas digitales
bull Monitoreo de redes (Comunity Manager)
Consisten en ataques
intercepciones de datos y enviacuteo de
informacioacuten usurpando identidad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 39
Vulnerabilidades
bull Ataques contra el flujo de la informacioacuten FLUJO NORMAL
Los mensajes en una red se enviacutean a partir de un emisor a uno o varios receptores
El atacante es un tercer elemento en la realidad existen millones de elementos atacantesintencionales o accidentales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 40
Emisor Receptor
Atacante
bull INTERRUPCIONbull El mensaje no puede llegar a su destino un recurso del sistema es destruido o
temporalmente inutilizado
bull Este es un ataque contra la Disponibilidad
bull Ejemplos Destruccioacuten de una pieza de hardware cortar los medios de comunicacioacuten o deshabilitar los sistemas de administracioacuten de archivos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 41
Vulnerabilidades
Emisor
Atacante
Receptor
Vulnerabilidades
bull INTERCEPCIONbull Una persona computadora o programa sin autorizacioacuten logra el acceso a un
recurso controlado
bull Es un ataque contra la Confidencialidad
bull Ejemplos Escuchas electroacutenicos copias iliacutecitas de programas o datos escalamiento de privilegios
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 42
Emisor
Atacante
Receptor
Vulnerabilidades
bull MODIFICACIONbull La persona sin autorizacioacuten ademaacutes de lograr el acceso modifica el mensaje
bull Este es un ataque contra la Integridad
bull Ejemplos Alterar la informacioacuten que se transmite desde una base de datos modificar los mensajes entre programas para que se comporten diferente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 43
bull FABRICACIONbull Una persona sin autorizacioacuten inserta objetos falsos en el sistemabull Es un ataque contra la Autenticidadbull Ejemplos Suplantacioacuten de identidades robo de sesiones robo de contrasentildeas
robo de direcciones IP etcbull Es muy difiacutecil estar seguro de quieacuten esta al otro lado de la liacutenea
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 44
Vulnerabilidades
Emisor
Atacante
Receptor
iquestQuienes Atacan los Sistemas
Gobiernos Extranjeros
Espiacuteas industriales o poliacuteticos
Criminales
Empleados descontentos y abusos internos
Adolescentes sin nada que hacer
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 45
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 46
Estado del ataque Ejemplo de Acciones
1-Buacutesqueda de Ingreso Correr un scanner de puertos
2-Penetracioacuten Explorar un sistema sin parches de seguridad
3-Elevacioacuten de Privilegios Lograr cuenta de Administrador
5-Enmascaramiento Borrado de rastros del ingreso y ataque
4-Ataque en si mismo Robo de datos destruccioacuten del sitio web etc
INTRUSO
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 47
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 48
Actuacioacuten del Criminal
bull Se requieren talentos especiales
bull El fraude ha crecido gracias a la aparicioacuten de las computadoras
Mitos
bull Dinero
bull Satisfaccioacuten (egocentrismo)
bull Ideologiacutea
bull Psicosis
Motivaciones personales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 49
bull Ambiente de trabajo
bull Prestaciones
bull Nivel de confianza interpersonal
bull Eacutetica ambiental
bull Nivel de stress
bull AMBIENTE DE CONTROL INTERNO
Motivaciones ambientales
Ethical Hacking
Es una intrusioacuten eacutetica es la aplicacioacuten de herramientas de intrusioacuten penetracioacuten robo personificacioacuten y negacioacuten de servicio llevado a cabo por hackers eacuteticos es decir personas con la experiencia y conocimiento suficiente para llevar a cabo estas pruebas en nombre de la organizacioacuten es decir de manera legal y prevista para determinar el nivel de seguridad de una red de equipos o servicios (incluido el aspecto de ingenieriacutea social)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 50
Ethical Hacking
bull al conocer el nivel de seguridad que se tiene en nuestra organizacioacuten es mucho maacutes sencillo no simple el tomar medidas que puedan subsanar estas deficienciasiquestPor queacute es
Importante
bull No al usar las armas que el enemigo usa es maacutes factible que podamos determinar el nivel de riesgo y por tanto la respuesta que debemos dar ante un ataque vieacutendolo como analogiacutea meacutedica es como cuando nos vacunan pues nos inoculan una versioacuten del virus del cual nos quieren hacer inmunes
iquestNo es contraproducente
bull Al contratar un servicio o realizarlo de manera interna estamos confiando en la eacutetica profesional de quien evaluacutea por lo que siacute siempre llevamos un riesgo pero se establece un contrato de buena fe hacieacutendolo suficientemente fiable (asegurando)iquestEs fiable
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 51
Ejemplos de Criacutemenes Electroacutenicos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 52
Ataque en 1986 de alemanes trabajando para la KGB contra sistemas estrateacutegicos de EEUU (Clifford Stoll Cuckooacutes egg)
El gusano Morris que se propagoacute por internet en 1988
causando un problema de DoS La causa fue la interrupcioacuten
causada por un programa escrito por Robert Tappan Morris
414 Gang enviacutea ataques contra los registros meacutedicos del
hospital para enfermos de caacutencer Sloan-Kettering
Ataques de Kevin Mitnick 1989-1996
Penetracioacuten de la red de Microsoft en octubre de 2000
por un cracker que ganoacute acceso a programas en desarrollo
Esparcimiento del Love Letter difundido por Onel Guzmaacuten en
Filipinas
53
DDoS contra Yahoo Amazon y Zdnet
Muacuteltiples problemas por virus desde
entonces
Target (Robo de informacioacuten de clientes
Identidad y datos financieros)
Juegos del Hambre
Ataque a Sony (Cyberterrorismo) y la
Respuesta con el apagoacuten de internet a
Korea del Norte
Carnabank (Europa oriental europa
occidental EEUU Panamaacute)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
Ejemplos de Criacutemenes Electroacutenicos
Algunas Clases de Ataques
Negacioacuten de Servicio (DoS)
Robo de contrasentildeas
Robo de identidad
Ingenieriacutea social
Defacement
FraudePirateriacutea de
softwareDumpster
divingCoacutedigo
MaliciosoIP spoofing
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 54
Algunas Clases de Ataques
EspionajeDestruccioacuten o alteracioacuten de informacioacuten
Uso de scripts de ataque
desarrolladosPhishing
Ciber -Terrorismo
War DialingWar
DrivingWalkingWar Chalking
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 55
El Caso Carbanak 1MMMUS$
La banda delictiva ciberneacutetica CARBANAK roba mil millones de doacutelares de 100 instituciones financieras en todo el mundo Kaspersky Lab la INTERPOL EUROPOL y autoridades de diferentes paiacuteses han unido sus fuerzas para dejar al descubierto el complot delictivo de un robo ciberneacutetico sin precedentes Hasta mil millones de doacutelares americanos fueron robados en cerca de dos antildeos de instituciones financieras en todo el mundo Los expertos informan que la responsabilidad del robo recae en una banda multinacional de ciberdelincuentesde Rusia Ucrania y otras partes de Europa asiacute como de China
La banda CARBANAK responsable del robo ciberneacutetico utilizoacute teacutecnicas extraiacutedas del arsenal de los ataques selectivos El complot marca el inicio de una nueva etapa en la evolucioacuten de la actividad de delincuencia ciberneacutetica donde usuarios maliciosos roban dinero directamente de los bancos y evitan concentrar sus ataques en los usuarios finales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 56
Comunicado de prensa 160215 - Karpersky
5705062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
MALWARE
El malware es un tipo de software que tiene como objetivo infiltrarse o dantildear un ordenador sistema de informacioacuten sin el consentimiento de su propietario
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 58
POPUP
bull Un pop-up es un tipo de ventana web que aparece delante de la ventana de un navegador al visitar una paacutegina web
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 59
VOLVER
ADWARE
bull Un programa de clase adware es cualquier programa que automaacuteticamente muestra publicidad web al usuario durante su instalacioacuten o durante su uso para generar lucro a sus autores
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 60
SPAM
bull Se llama spam correo basura a los mensajes no solicitados no deseados o de remitente no conocido habitualmente de tipo publicitario generalmente enviados
en grandes cantidades que perjudican al receptor
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 61
Bomba Loacutegica
Son programas informaacuteticos que se instala en un ordenador y permanece oculto hasta cumplirse una o maacutes condiciones preprogramadas para en ese momento ejecutar una accioacuten
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 62
volver
VIRUS DE MACROS
bull Es una secuencia de oacuterdenes de teclado y ratoacuten asignadas a una sola tecla Los virus de macros afectan a archivos y plantillas que los contienen hacieacutendose pasar por una macro y no actuaraacuten hasta que el archivo se abra o utilice
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 63
VOLVER
VIRUS RESIDENTES
bull Se colocan automaacuteticamente en la memoria RAM del ordenador De este modo pueden controlar e interceptar todas las operaciones llevadas a cabo por el sistema operativo infectando todos aquellos ficheros yo programas que sean ejecutados abiertos cerrados renombrados copiados etc
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 64
VIRUS DE ENLACE
bull Modifican las direcciones que permiten a nivel interno acceder a cada uno de los archivos existentes y como consecuencia no es posible localizarlos y trabajar con ellos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 65
VOLVER
VIRUS MUTANTES
bull Son virus que mutan es decir x Debido a estas mutaciones cada generacioacuten de virus es diferente a la versioacuten anterior dificultando asiacute su deteccioacuten y eliminacioacuten
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 66
VIRUS DE BOOT
bull Se activan en el momento en el que se arranca el ordenador desde un disco infectado ya sea desde el disco duro o desde una memoria USB
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 67
VOLVER
VIRUS DE PROGRAMA
bull Comuacutenmente infectan archivos con extensiones EXE COM OVL DRV BIN DLL y SYS
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 68
VOLVER
VIRUS DE SOBREESCRITURA
bull Sobre-escriben en el interior de los archivos atacados haciendo que se pierda el contenido de los mismos
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 69
Ataques de Seguridad
bull Spyware Es un software de computadoraque al instalarse intercepta o toma controlparcial de la interaccioacuten de lacomputadora y el usuario esto sin que elmismo se de cuenta Estos programaspueden recolectar diferentes tipos deinformacioacuten de los usuarios asiacute comoinstalar software adicional sin elconsentimiento de los mismos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 70
71
Herramientas de Seguridad
bull Gusano Es un programa de computadora quepuede replicarse a si mismo utiliza la red paraenviar copias de si mismo a otros nodos y lopuede hacer sin la intervencioacuten del usuario
A diferencia de los ldquovirusrdquo los gusanos nonecesitan estar amarrados a un programa y sufuncioacuten es principalmente dantildear la red (ejdesempentildeo) mientras que los virus dantildeanarchivos en computadoras
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
72
Ataques de Seguridad
bull Caballo de Troya Es una programa que seinstala bajo la creencia de que se estainstalando alguna otra cosa Los troyanosson programas muy utilizados parainstalar programas tipo ldquobackdoorsrdquo quepermiten el acceso no autorizado a lacomputadora atacada un ejemplo deprogramas tipo backdoor son losKeyloogers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
73
Ataques de Seguridad
bull DoS Denial of service- Ataques quehacen indisponible un servicio a losusuarios
bull DDoS Son conocidos como DNSBackbone Distributed Denial ofServices ndash Ataques tienen comoblanco los servidores raiacutez DNS por lotanto afectan uno de los pilares delInternet los nombres de los dominios
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
74
Ataques de Seguridad
bull Footprinting Teacutecnica utilizada para reunir informacioacuten acerca de sistemas computacionales y las entidades a las que pertenece algunos ejemplos son
- Domain queries
- Network queries
- Organizational queries
- TCP scans
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
75
Ataques de Seguridad
bull Fingerprinting Tambieacuten es conocidocomo TCPIP stack fingerprinting y esutilizado para determinar que sistemaoperativo utiliza alguacuten blanco en la redExiste dos tipos de fingerprinting
- Pasivo- Activo
NMAP es una herramienta que utilizafingerprinting activo para mapearpuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
76
Ataques de Seguridad
bull Escaneo de puertos El escaneo depuertos se basa en el FingerprintingActivo es decir transmite y recibesentildeales como ICMP TELNET SNMPdesde un blanco determinado en lared esto con el fin de obtenerinformacioacuten de dicho blanco en estecaso informacioacuten acerca de suspuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
77
Ataques de Seguridad
bull Sniffing Para llevar a cabo el sniffing esnecesario contar con un ldquopacket snifferrdquoque puede ser software instalado en unacomputadora o un dispositivoindependiente (appliance) estedispositivo es utilizado para interceptar yregistrar traacutefico que pasa a traveacutes de unared o de un segmento de la misma(Puede ser de una red ethernet owireless)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
78
Ataques de Seguridad
bull Spoofing Los ataques tipo spoofing sonaquellos en los que una persona oprograma logra hacerse pasar por otrafalsificando informacioacuten o utilizando laingenieriacutea algunos ataques tipo spoofingson los siguientes
- Falsificacioacuten de direccioacuten de email
- Falsificacioacuten de ID de llamadas telefoacutenicas
- Falsificacioacuten de sitios de internet (phishing)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
79
Ataques de Seguridad
bull Phishing Es el uso de teacutecnicas deingenieriacutea social con la finalidad deadquirir de manera fraudulentainformacioacuten confidencial comonombres de usuarios contrasentildeasinformacioacuten de tarjetas de creacutedito
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
80
Ataques de Seguridad
bull Ingenieriacutea Social Se refiere a unacoleccioacuten de teacutecnicas utilizadas paramanipular a las personas para querealicen alguna accioacuten o divulgueninformacioacuten confidencial
Algunos ingenieros sociales notablesson
- Kevin Mitnik
- Frank Abagnale
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
Ingenieriacutea Social
Es el conjunto de meacutetodos y praacutecticas usados para obtener informacioacuten de usuarios legiacutetimos y con la informacioacuten obtenida lograr acceso a sistemas protegidos siendo esta praacutectica de uso comuacuten entre piratas informaacuteticos y delincuentes computacionales
Coacutemo me afecta Al no validar las referencias o no seguir el protocolo de seguridad adecuado para divulgar contrasentildeas o cualquier otra informacioacuten sensible podemos ser coacutemplices de un crimen Meacutexico ha acordado con organismos internacionales la homologacioacuten yo adecuacioacuten de coacutedigos penales para que estos delitos sean perseguidos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 81
Ingenieriacutea Social
Coacutemo puedo saber si estoy siendo viacutectima de un ingeniero social Muy simple cuando alguien nos pide alguacuten tipo de informacioacuten privilegiada y esta persona es insistente cuando le requerimos seguir un protocolo para validar su intencioacuten es altamente probable que estemos siendo viacutectimas de un intento de robo de informacioacuten por un ingeniero socialhacker
Coacutemo puedo evitarlo Sencillo si no confiamos en la persona que nos solicita los datos (supongamos un teacutecnico de soporte de nuestro lugar de trabajo) podemos pedirle que nos deje sus datos y comunicarnos con el 10 minutos despueacutes de validar que la peticioacuten es legiacutetima es decir soacutelo sigamos los protocolos que existen en el trabajo y crear los propios en casa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 82
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra los Sistemas que Utilizan Tecnologiacuteas de Informacioacuten
bull Artiacuteculo 6 Acceso indebido
bull Artiacuteculo 7 Sabotaje o dantildeo a sistemas
bull Artiacuteculo 8 Favorecimiento culposo del sabotaje o dantildeo
bull Artiacuteculo 9 Acceso indebido o sabotaje a sistemas protegidos
bull Artiacuteculo 10 Posesioacuten de equipos o prestacioacuten de servicios de sabotaje
bull Artiacuteculo 11 Espionaje informaacutetico
bull Artiacuteculo 12 Falsificacioacuten de documentos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 83
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Propiedad
bull Artiacuteculo 13 Hurto
bull Artiacuteculo 14 Fraude
bull Artiacuteculo 15 Obtencioacuten indebida de bienes o servicios
bull Artiacuteculo 16 Manejo fraudulento de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 17 Apropiacioacuten de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 18 Provisioacuten indebida de bienes o servicios
bull Artiacuteculo 19 Posesioacuten de equipo para falsificaciones
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 84
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Privacidad de las Personas y de las Comunicaciones
bullArtiacuteculo 20 Violacioacuten de la privacidad de la data o informacioacuten de caraacutecter personal
bullArtiacuteculo 21 Violacioacuten de la privacidad de las comunicaciones
bullArtiacuteculo 22 Revelacioacuten indebida de data o informacioacuten de caraacutecter personal
De los Delitos Contra Nintildeos Nintildeas o Adolescentes
bullArtiacuteculo 23 Difusioacuten o exhibicioacuten de material pornograacutefico
bullArtiacuteculo 24 Exhibicioacuten pornograacutefica de nintildeos o adolescentes
De los Delitos Contra el Orden Econoacutemico
bullArtiacuteculo 25 Apropiacioacuten de propiedad intelectual
bullArtiacuteculo 26 Oferta engantildeosa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 85
Plan de Contingencia Continuidad Operacional
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 86
Plan de Contingencia
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 87
ldquoConjunto de Normas y Procedimientos documentadosy comunicados que tienen por objetivo minimizar los riesgos informaacuteticos mas probablesrdquo
InvolucrabullUso de herramientas
bullCumplimiento de Tareas por
parte de personas
Plan de Contingencia
Consta de tres subplanes independientes
bull Plan de Respaldo crear y conservar en un lugar seguro copias de seguridad de la informacioacuten
bull Pla de Emergencia queacute medidas tomar cuando se estaacute materializando una amenaza o cuando acaba de producirse
bull Plan de Recuperacioacuten medidas que se aplicaran cuando se ha producido un desastre El objetivo es evaluar el impacto y regresar lo antes posible
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 88
Plan de Contingencia
En la elaboracioacuten de este plan no se puede dejar por fuera a los miembros de la organizacioacuten el cual debe estar informado y entrenado para actuar en las funciones que le hayan sido encomendadas en caso de producirse una amenaza o impacto
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 89
Continuidad Operacional
Business Continuity Planning (Plan de Continuidad de negocios)
bull Plan Baacutesico
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Coldsite)
bull Plan Intermedio
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan Alto
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan de respuesta y continuidad de negocios alternativo (sin asistencia de sistemas)
bull Stress Testing al Plan
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 90
El Stress Testing
bull Poner a prueba el planbull Revise y evalueacute
bull Respaldosbull Oportunidad integridad y funcionalidadbull Custodia y transporte
bull Cold y Hotsitebull Funcionalidad accesibilidad y compatibilidadbull Actualizacioacuten oportuna (hotsite)
bull Personalbull Roles y funcionesbull Accesibilidad (contactos y comunicaciones)
bull Simulacioacuten de cataacutestrofesbull Sin previo aviso el director encargado del BCP se presenta en el centro de computo
cronometro en mano y baja la cuchilla de electricidad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 91
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de Lehman Brothers
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el WorldTrade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehman se desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del World Trade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehman teniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 92
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de LehmanBrothers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 93
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el World Trade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehmanse desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 94
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del WorldTrade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehmanteniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 95
La Contingencia Manual la Uacuteltima Frontera
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 96
05062015 97
DATOS BAacuteSICOS
Responsable A Nivel Corporativo Responsable(s) A Nivel Regional
PROVEEDOR (ES)
Origen Responsable Insumo (s)
RESULTADOS
Normas y Procedimientos Asociados Fecha uacuteltima revisioacuten Sistemas Aplicaciones Asociadas
Proceso
CALIFICACIOacuteN DE CONTROLES DE ENTRADA
Actividad
RECOMENDACIONES
Procesamiento
Automaacutetico (A)Manual (M)
Frecuencia
Adiestramiento Proceso Sistema N y P Otros
Negocio Area Localidad
Responsable
Nombre CargoNombre Cargo
NOMBRE
ELABORADO POR
CARGO FIRMA
Calidad de Data (B) Buena (R) Regular (M) Mala Oportunidad (AT) A Tiempo (R) Retrasada Revisioacuten Aprobacioacuten (S) Si (N) NoLEYENDA
Calificacioacuten (F) Fuerte (M) Medio (B) Bajo
DescripcioacutenResponsableDescripcioacuten
Tarea
Descripcioacuten
FRECUENCIA DE LA TAREA Diaria (D) Semanal (S) Mensual (M) Trimestral (T) Anual (A) Ocasional (O)
Soportes Recepcioacuten (P) Papel (E) Electroacutenico Archivo (S) Si (N) No Soportes Enviacuteo (S) Si (N) No Backup (S) Si (N) No
Producto (s) Cliente ReceptorControl
de salida
SoportesFrecuencia
Recepcioacuten Backup
DOCUMENTOS SISTEMAS ASOCIADOS A LOS CONTROLES
CALIFICACIOacuteN DE CONTROLES (por parte del Cliente Receptor)
Revisioacuten
Aprobacioacuten
Revisioacuten
AprobacioacutenTipo de control
Procesamiento
Automaacutetico (A)Manual (M)
Control
De EntradaTipo de control
Soportes
Recepcioacuten Archivo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 98
DATOS BAacuteSICOS
TareaActividad
Proceso Responsable del Proceso
Fecha de Elaboracioacuten 2015
Accioacuten (es) Responsable (s)
OBSERVACIONES ELABORADO POR
FIRMA
NOMBRE
Plan de recuperacioacuten y Reactivacioacuten de Finanzas
Recomendaciones Acciones
La Cadena de Valor de una Organizacioacuten de Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 99
ASESORAR EN CONTROLES DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR DELEGACIONES FINANCIERAS
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
CONTROLAR SEGURIDAD SISTEMA
OPERACIONALES ADMINISTRATIVOS Y OTROS
SISTEMAS FINANCIEROS
DESARROLLAR CONTROLES
DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR Y DESARROLLAR PLAN INTEGRAL DE CONTROL ( PIC )
Asesorar en controles de procesos normas y
Procedimientos
Administrar delegaciones financieras
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
Controlar seguridad sistema
operacionales administrativos y otros
sistemas financieros
Desarrollar
controles de
procesos
normas y
procedimientos
Administrar y desarrollar plan integral de control ( PIC )
Estructura Organizacional
Poliacutetica de Seguridad
Organizacioacuten de la Seguridad de la Informacioacuten
Gestioacuten de Activos Control de Acceso
Cumplimiento Conformidad Informacioacuten de gestioacuten de incidentes de seguridad
Seguridad de los recursos humanos
Gestioacuten de continuidad del negocio
Sistemas de Informacioacuten de adquisicioacuten desarrollo y mantenimiento
Comunicacioacuten y gestioacuten de operaciones
Seguridad fiacutesica y ambiental
Los 11 dominios de la ISOIEC 27001bull Poliacutetica de Seguridadbull Organizacioacuten de la seguridad de la
informacioacutenbull Gestioacuten de Activosbull Seguridad de los recursos humanosbull Seguridad fiacutesica y ambientalbull Comunicacioacuten y gestioacuten de
operacionesbull Control de accesobull Sistemas de informacioacuten de
adquisicioacuten desarrollo y mantenimiento
bull Informacioacuten de gestioacuten de incidentes de seguridad
bull Gestioacuten de continuidad del negociobull Cumplimiento Conformidad
Gerencia
Operaciones
Leyenda
Aspectos Gerenciales
Aspectos Teacutecnicos
Aspectos Fiacutesicos
Riesgos Amenazas
VulnerabilidadesGestioacuten de Riesgos en TI
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 25
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 26
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 27
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
DE ATAQUES INTERNOS PARA DANtildeAR DATOS O SISTEMAS FRAUDES ERRORES EN EL MANEJO DE
SISTEMAS
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 28
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 29
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 30
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 31
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Seguridad Informaacutetica a Nivel de Usuarios
bull Los usuarios se acostumbran a usar la tecnologiacutea sin saber como funciona o de los riesgos que pueden correr
bull Son el punto de entrada de muchos de los problemas croacutenicos
bull Son ldquoEl eslaboacuten maacutes deacutebilrdquo en la cadena de seguridad
Usuarios comunes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 32
Seguridad Informaacutetica a Nivel de Usuarios
bull Principio del MENOR PRIVILEGIO POSIBLE
bull EDUCAR AL USUARIO
Dos enfoques para
controlarlos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 33
Seguridad Informaacutetica a Nivel de Usuarios
Principio del MENOR PRIVILEGIO POSIBLE Implica seguridad de
acceso al sistema (usuario password perfiles de usuario de
manera transaccional ndash seguridad por posicioacuten workflow)
bull Reducir la capacidad de accioacuten del usuario sobre los sistemas
bull Objetivo Lograr el menor dantildeo posible en caso de incidentes
Administracioacuten de privilegios
bull Usuarios uacutenicos e intransferibles
bull Procesos de desactivacioacuten de cuentas y activacioacuten del reemplazo (en periacuteodos vacacionales y de reposos)
bull Administracioacuten de claves de acceso
bull Alfanumeacutericas + caracteres especiales + mayuacutesculas minuacutesculas
bull Caducidad
bull Bloqueo por intentos fallidos
bull Prohibicioacuten de palabras y datos de uso comuacuten o asociadas al usuario
bull Reseteo de clave de forma automaacutetica con preguntas de desafiacuteo (pe usando datos encriptados que solo el usuario conoce como fecha de ingreso a la empresa)
bull Perfil de usuario
bull De acuerdo a la actividad y delegacioacuten de autoridad de acuerdo a su posicioacuten y responsabilidades
bull Esquemas de proteccioacuten de datos e informacioacuten (Privado Confidencial y Estrictamente Privado y Confidencial) seguacuten la posicioacuten y actividades (previendo delincuencia comuacuten o DDOO)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 34
Seguridad Informaacutetica a Nivel de Usuarios
EDUCAR AL USUARIO
bull Documentar y publicar todas las normas y procedimientos asociados
bull Generar una cultura de seguridad El usuario ayuda a reforzar y aplicar los mecanismos de seguridad
bull Objetivo Reducir el nuacutemero de incidentes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 35
Adicionales a los que ya
se mostroacute para
usuarios comunes se
debe
bull Seguridad de acceso a las instalaciones (aacuterea de desarrollo y aacuterea de servidores o main frame)
bull Poliacutetica de respaldo de informacioacuten y programas que incluyan backups in situ outside a modo copia espejo e incremental (solo variaciones)
bull Poliacuteticas de sustraccioacuten de datos incluyendo el uso de CDROM y Pendrivers (Wikiliks)
bull Crear ambientes de desarrollo de software aislados de los ambientes de produccioacuten (operaciones de la empresa) y de prueba Crear ambientes de prueba con participacioacuten funcional
bull Crear protocolos de procesos de cambio (implantacioacuten de sistemas actualizacioacuten de software incluidos los sistemas operativos) que incluyan respaldo total de programas y datos a modo espejo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 36
Seguridad Informaacutetica a Nivel de Usuarios
Vulnerabilidad
bull En un sistema informaacutetico lo que queremos proteger son sus activos es decir los recursos que forman parte del sistema y que podemos agrupar enbull - Hardware - Software
bull - Datos - Otros
bull Los mas criacuteticos son los datos el hardware y el software Es decir los datos que estaacuten almacenados en el hardware y que son procesados por las aplicaciones software
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 37
Vulnerabilidad
bull Es la debilidad de cualquier tipo que compromete la seguridad del sistema informaacutetico
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 38
Disentildeobull Debilidad en el disentildeo de protocolos utilizados en las redes
bull Poliacuteticas de seguridad deficientes e inexistentes
Implementacioacuten
bull Errores de programacioacuten
bull Existencia de ldquopuertas traserasrdquo en los sistemas informaacuteticos
bull Descuido de los fabricantes
Uso
bull Mala configuracioacuten de los sistemas informaacuteticos
bull Desconocimiento y falta de sensibilizacioacuten de los usuarios y de los responsables de informaacutetica
bull Disponibilidad de herramientas que facilitan los ataques
bull Limitacioacuten gubernamental de tecnologiacuteas de seguridad
Vulnerabilidades conocidas
bull Firewall
bull Antivirus
bull Malware
bull Antispy
bull Protocolos de encriptacioacuten
bull Firmas digitales
bull Monitoreo de redes (Comunity Manager)
Consisten en ataques
intercepciones de datos y enviacuteo de
informacioacuten usurpando identidad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 39
Vulnerabilidades
bull Ataques contra el flujo de la informacioacuten FLUJO NORMAL
Los mensajes en una red se enviacutean a partir de un emisor a uno o varios receptores
El atacante es un tercer elemento en la realidad existen millones de elementos atacantesintencionales o accidentales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 40
Emisor Receptor
Atacante
bull INTERRUPCIONbull El mensaje no puede llegar a su destino un recurso del sistema es destruido o
temporalmente inutilizado
bull Este es un ataque contra la Disponibilidad
bull Ejemplos Destruccioacuten de una pieza de hardware cortar los medios de comunicacioacuten o deshabilitar los sistemas de administracioacuten de archivos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 41
Vulnerabilidades
Emisor
Atacante
Receptor
Vulnerabilidades
bull INTERCEPCIONbull Una persona computadora o programa sin autorizacioacuten logra el acceso a un
recurso controlado
bull Es un ataque contra la Confidencialidad
bull Ejemplos Escuchas electroacutenicos copias iliacutecitas de programas o datos escalamiento de privilegios
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 42
Emisor
Atacante
Receptor
Vulnerabilidades
bull MODIFICACIONbull La persona sin autorizacioacuten ademaacutes de lograr el acceso modifica el mensaje
bull Este es un ataque contra la Integridad
bull Ejemplos Alterar la informacioacuten que se transmite desde una base de datos modificar los mensajes entre programas para que se comporten diferente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 43
bull FABRICACIONbull Una persona sin autorizacioacuten inserta objetos falsos en el sistemabull Es un ataque contra la Autenticidadbull Ejemplos Suplantacioacuten de identidades robo de sesiones robo de contrasentildeas
robo de direcciones IP etcbull Es muy difiacutecil estar seguro de quieacuten esta al otro lado de la liacutenea
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 44
Vulnerabilidades
Emisor
Atacante
Receptor
iquestQuienes Atacan los Sistemas
Gobiernos Extranjeros
Espiacuteas industriales o poliacuteticos
Criminales
Empleados descontentos y abusos internos
Adolescentes sin nada que hacer
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 45
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 46
Estado del ataque Ejemplo de Acciones
1-Buacutesqueda de Ingreso Correr un scanner de puertos
2-Penetracioacuten Explorar un sistema sin parches de seguridad
3-Elevacioacuten de Privilegios Lograr cuenta de Administrador
5-Enmascaramiento Borrado de rastros del ingreso y ataque
4-Ataque en si mismo Robo de datos destruccioacuten del sitio web etc
INTRUSO
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 47
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 48
Actuacioacuten del Criminal
bull Se requieren talentos especiales
bull El fraude ha crecido gracias a la aparicioacuten de las computadoras
Mitos
bull Dinero
bull Satisfaccioacuten (egocentrismo)
bull Ideologiacutea
bull Psicosis
Motivaciones personales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 49
bull Ambiente de trabajo
bull Prestaciones
bull Nivel de confianza interpersonal
bull Eacutetica ambiental
bull Nivel de stress
bull AMBIENTE DE CONTROL INTERNO
Motivaciones ambientales
Ethical Hacking
Es una intrusioacuten eacutetica es la aplicacioacuten de herramientas de intrusioacuten penetracioacuten robo personificacioacuten y negacioacuten de servicio llevado a cabo por hackers eacuteticos es decir personas con la experiencia y conocimiento suficiente para llevar a cabo estas pruebas en nombre de la organizacioacuten es decir de manera legal y prevista para determinar el nivel de seguridad de una red de equipos o servicios (incluido el aspecto de ingenieriacutea social)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 50
Ethical Hacking
bull al conocer el nivel de seguridad que se tiene en nuestra organizacioacuten es mucho maacutes sencillo no simple el tomar medidas que puedan subsanar estas deficienciasiquestPor queacute es
Importante
bull No al usar las armas que el enemigo usa es maacutes factible que podamos determinar el nivel de riesgo y por tanto la respuesta que debemos dar ante un ataque vieacutendolo como analogiacutea meacutedica es como cuando nos vacunan pues nos inoculan una versioacuten del virus del cual nos quieren hacer inmunes
iquestNo es contraproducente
bull Al contratar un servicio o realizarlo de manera interna estamos confiando en la eacutetica profesional de quien evaluacutea por lo que siacute siempre llevamos un riesgo pero se establece un contrato de buena fe hacieacutendolo suficientemente fiable (asegurando)iquestEs fiable
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 51
Ejemplos de Criacutemenes Electroacutenicos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 52
Ataque en 1986 de alemanes trabajando para la KGB contra sistemas estrateacutegicos de EEUU (Clifford Stoll Cuckooacutes egg)
El gusano Morris que se propagoacute por internet en 1988
causando un problema de DoS La causa fue la interrupcioacuten
causada por un programa escrito por Robert Tappan Morris
414 Gang enviacutea ataques contra los registros meacutedicos del
hospital para enfermos de caacutencer Sloan-Kettering
Ataques de Kevin Mitnick 1989-1996
Penetracioacuten de la red de Microsoft en octubre de 2000
por un cracker que ganoacute acceso a programas en desarrollo
Esparcimiento del Love Letter difundido por Onel Guzmaacuten en
Filipinas
53
DDoS contra Yahoo Amazon y Zdnet
Muacuteltiples problemas por virus desde
entonces
Target (Robo de informacioacuten de clientes
Identidad y datos financieros)
Juegos del Hambre
Ataque a Sony (Cyberterrorismo) y la
Respuesta con el apagoacuten de internet a
Korea del Norte
Carnabank (Europa oriental europa
occidental EEUU Panamaacute)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
Ejemplos de Criacutemenes Electroacutenicos
Algunas Clases de Ataques
Negacioacuten de Servicio (DoS)
Robo de contrasentildeas
Robo de identidad
Ingenieriacutea social
Defacement
FraudePirateriacutea de
softwareDumpster
divingCoacutedigo
MaliciosoIP spoofing
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 54
Algunas Clases de Ataques
EspionajeDestruccioacuten o alteracioacuten de informacioacuten
Uso de scripts de ataque
desarrolladosPhishing
Ciber -Terrorismo
War DialingWar
DrivingWalkingWar Chalking
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 55
El Caso Carbanak 1MMMUS$
La banda delictiva ciberneacutetica CARBANAK roba mil millones de doacutelares de 100 instituciones financieras en todo el mundo Kaspersky Lab la INTERPOL EUROPOL y autoridades de diferentes paiacuteses han unido sus fuerzas para dejar al descubierto el complot delictivo de un robo ciberneacutetico sin precedentes Hasta mil millones de doacutelares americanos fueron robados en cerca de dos antildeos de instituciones financieras en todo el mundo Los expertos informan que la responsabilidad del robo recae en una banda multinacional de ciberdelincuentesde Rusia Ucrania y otras partes de Europa asiacute como de China
La banda CARBANAK responsable del robo ciberneacutetico utilizoacute teacutecnicas extraiacutedas del arsenal de los ataques selectivos El complot marca el inicio de una nueva etapa en la evolucioacuten de la actividad de delincuencia ciberneacutetica donde usuarios maliciosos roban dinero directamente de los bancos y evitan concentrar sus ataques en los usuarios finales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 56
Comunicado de prensa 160215 - Karpersky
5705062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
MALWARE
El malware es un tipo de software que tiene como objetivo infiltrarse o dantildear un ordenador sistema de informacioacuten sin el consentimiento de su propietario
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 58
POPUP
bull Un pop-up es un tipo de ventana web que aparece delante de la ventana de un navegador al visitar una paacutegina web
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 59
VOLVER
ADWARE
bull Un programa de clase adware es cualquier programa que automaacuteticamente muestra publicidad web al usuario durante su instalacioacuten o durante su uso para generar lucro a sus autores
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 60
SPAM
bull Se llama spam correo basura a los mensajes no solicitados no deseados o de remitente no conocido habitualmente de tipo publicitario generalmente enviados
en grandes cantidades que perjudican al receptor
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 61
Bomba Loacutegica
Son programas informaacuteticos que se instala en un ordenador y permanece oculto hasta cumplirse una o maacutes condiciones preprogramadas para en ese momento ejecutar una accioacuten
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 62
volver
VIRUS DE MACROS
bull Es una secuencia de oacuterdenes de teclado y ratoacuten asignadas a una sola tecla Los virus de macros afectan a archivos y plantillas que los contienen hacieacutendose pasar por una macro y no actuaraacuten hasta que el archivo se abra o utilice
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 63
VOLVER
VIRUS RESIDENTES
bull Se colocan automaacuteticamente en la memoria RAM del ordenador De este modo pueden controlar e interceptar todas las operaciones llevadas a cabo por el sistema operativo infectando todos aquellos ficheros yo programas que sean ejecutados abiertos cerrados renombrados copiados etc
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 64
VIRUS DE ENLACE
bull Modifican las direcciones que permiten a nivel interno acceder a cada uno de los archivos existentes y como consecuencia no es posible localizarlos y trabajar con ellos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 65
VOLVER
VIRUS MUTANTES
bull Son virus que mutan es decir x Debido a estas mutaciones cada generacioacuten de virus es diferente a la versioacuten anterior dificultando asiacute su deteccioacuten y eliminacioacuten
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 66
VIRUS DE BOOT
bull Se activan en el momento en el que se arranca el ordenador desde un disco infectado ya sea desde el disco duro o desde una memoria USB
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 67
VOLVER
VIRUS DE PROGRAMA
bull Comuacutenmente infectan archivos con extensiones EXE COM OVL DRV BIN DLL y SYS
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 68
VOLVER
VIRUS DE SOBREESCRITURA
bull Sobre-escriben en el interior de los archivos atacados haciendo que se pierda el contenido de los mismos
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 69
Ataques de Seguridad
bull Spyware Es un software de computadoraque al instalarse intercepta o toma controlparcial de la interaccioacuten de lacomputadora y el usuario esto sin que elmismo se de cuenta Estos programaspueden recolectar diferentes tipos deinformacioacuten de los usuarios asiacute comoinstalar software adicional sin elconsentimiento de los mismos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 70
71
Herramientas de Seguridad
bull Gusano Es un programa de computadora quepuede replicarse a si mismo utiliza la red paraenviar copias de si mismo a otros nodos y lopuede hacer sin la intervencioacuten del usuario
A diferencia de los ldquovirusrdquo los gusanos nonecesitan estar amarrados a un programa y sufuncioacuten es principalmente dantildear la red (ejdesempentildeo) mientras que los virus dantildeanarchivos en computadoras
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
72
Ataques de Seguridad
bull Caballo de Troya Es una programa que seinstala bajo la creencia de que se estainstalando alguna otra cosa Los troyanosson programas muy utilizados parainstalar programas tipo ldquobackdoorsrdquo quepermiten el acceso no autorizado a lacomputadora atacada un ejemplo deprogramas tipo backdoor son losKeyloogers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
73
Ataques de Seguridad
bull DoS Denial of service- Ataques quehacen indisponible un servicio a losusuarios
bull DDoS Son conocidos como DNSBackbone Distributed Denial ofServices ndash Ataques tienen comoblanco los servidores raiacutez DNS por lotanto afectan uno de los pilares delInternet los nombres de los dominios
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
74
Ataques de Seguridad
bull Footprinting Teacutecnica utilizada para reunir informacioacuten acerca de sistemas computacionales y las entidades a las que pertenece algunos ejemplos son
- Domain queries
- Network queries
- Organizational queries
- TCP scans
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
75
Ataques de Seguridad
bull Fingerprinting Tambieacuten es conocidocomo TCPIP stack fingerprinting y esutilizado para determinar que sistemaoperativo utiliza alguacuten blanco en la redExiste dos tipos de fingerprinting
- Pasivo- Activo
NMAP es una herramienta que utilizafingerprinting activo para mapearpuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
76
Ataques de Seguridad
bull Escaneo de puertos El escaneo depuertos se basa en el FingerprintingActivo es decir transmite y recibesentildeales como ICMP TELNET SNMPdesde un blanco determinado en lared esto con el fin de obtenerinformacioacuten de dicho blanco en estecaso informacioacuten acerca de suspuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
77
Ataques de Seguridad
bull Sniffing Para llevar a cabo el sniffing esnecesario contar con un ldquopacket snifferrdquoque puede ser software instalado en unacomputadora o un dispositivoindependiente (appliance) estedispositivo es utilizado para interceptar yregistrar traacutefico que pasa a traveacutes de unared o de un segmento de la misma(Puede ser de una red ethernet owireless)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
78
Ataques de Seguridad
bull Spoofing Los ataques tipo spoofing sonaquellos en los que una persona oprograma logra hacerse pasar por otrafalsificando informacioacuten o utilizando laingenieriacutea algunos ataques tipo spoofingson los siguientes
- Falsificacioacuten de direccioacuten de email
- Falsificacioacuten de ID de llamadas telefoacutenicas
- Falsificacioacuten de sitios de internet (phishing)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
79
Ataques de Seguridad
bull Phishing Es el uso de teacutecnicas deingenieriacutea social con la finalidad deadquirir de manera fraudulentainformacioacuten confidencial comonombres de usuarios contrasentildeasinformacioacuten de tarjetas de creacutedito
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
80
Ataques de Seguridad
bull Ingenieriacutea Social Se refiere a unacoleccioacuten de teacutecnicas utilizadas paramanipular a las personas para querealicen alguna accioacuten o divulgueninformacioacuten confidencial
Algunos ingenieros sociales notablesson
- Kevin Mitnik
- Frank Abagnale
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
Ingenieriacutea Social
Es el conjunto de meacutetodos y praacutecticas usados para obtener informacioacuten de usuarios legiacutetimos y con la informacioacuten obtenida lograr acceso a sistemas protegidos siendo esta praacutectica de uso comuacuten entre piratas informaacuteticos y delincuentes computacionales
Coacutemo me afecta Al no validar las referencias o no seguir el protocolo de seguridad adecuado para divulgar contrasentildeas o cualquier otra informacioacuten sensible podemos ser coacutemplices de un crimen Meacutexico ha acordado con organismos internacionales la homologacioacuten yo adecuacioacuten de coacutedigos penales para que estos delitos sean perseguidos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 81
Ingenieriacutea Social
Coacutemo puedo saber si estoy siendo viacutectima de un ingeniero social Muy simple cuando alguien nos pide alguacuten tipo de informacioacuten privilegiada y esta persona es insistente cuando le requerimos seguir un protocolo para validar su intencioacuten es altamente probable que estemos siendo viacutectimas de un intento de robo de informacioacuten por un ingeniero socialhacker
Coacutemo puedo evitarlo Sencillo si no confiamos en la persona que nos solicita los datos (supongamos un teacutecnico de soporte de nuestro lugar de trabajo) podemos pedirle que nos deje sus datos y comunicarnos con el 10 minutos despueacutes de validar que la peticioacuten es legiacutetima es decir soacutelo sigamos los protocolos que existen en el trabajo y crear los propios en casa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 82
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra los Sistemas que Utilizan Tecnologiacuteas de Informacioacuten
bull Artiacuteculo 6 Acceso indebido
bull Artiacuteculo 7 Sabotaje o dantildeo a sistemas
bull Artiacuteculo 8 Favorecimiento culposo del sabotaje o dantildeo
bull Artiacuteculo 9 Acceso indebido o sabotaje a sistemas protegidos
bull Artiacuteculo 10 Posesioacuten de equipos o prestacioacuten de servicios de sabotaje
bull Artiacuteculo 11 Espionaje informaacutetico
bull Artiacuteculo 12 Falsificacioacuten de documentos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 83
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Propiedad
bull Artiacuteculo 13 Hurto
bull Artiacuteculo 14 Fraude
bull Artiacuteculo 15 Obtencioacuten indebida de bienes o servicios
bull Artiacuteculo 16 Manejo fraudulento de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 17 Apropiacioacuten de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 18 Provisioacuten indebida de bienes o servicios
bull Artiacuteculo 19 Posesioacuten de equipo para falsificaciones
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 84
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Privacidad de las Personas y de las Comunicaciones
bullArtiacuteculo 20 Violacioacuten de la privacidad de la data o informacioacuten de caraacutecter personal
bullArtiacuteculo 21 Violacioacuten de la privacidad de las comunicaciones
bullArtiacuteculo 22 Revelacioacuten indebida de data o informacioacuten de caraacutecter personal
De los Delitos Contra Nintildeos Nintildeas o Adolescentes
bullArtiacuteculo 23 Difusioacuten o exhibicioacuten de material pornograacutefico
bullArtiacuteculo 24 Exhibicioacuten pornograacutefica de nintildeos o adolescentes
De los Delitos Contra el Orden Econoacutemico
bullArtiacuteculo 25 Apropiacioacuten de propiedad intelectual
bullArtiacuteculo 26 Oferta engantildeosa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 85
Plan de Contingencia Continuidad Operacional
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 86
Plan de Contingencia
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 87
ldquoConjunto de Normas y Procedimientos documentadosy comunicados que tienen por objetivo minimizar los riesgos informaacuteticos mas probablesrdquo
InvolucrabullUso de herramientas
bullCumplimiento de Tareas por
parte de personas
Plan de Contingencia
Consta de tres subplanes independientes
bull Plan de Respaldo crear y conservar en un lugar seguro copias de seguridad de la informacioacuten
bull Pla de Emergencia queacute medidas tomar cuando se estaacute materializando una amenaza o cuando acaba de producirse
bull Plan de Recuperacioacuten medidas que se aplicaran cuando se ha producido un desastre El objetivo es evaluar el impacto y regresar lo antes posible
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 88
Plan de Contingencia
En la elaboracioacuten de este plan no se puede dejar por fuera a los miembros de la organizacioacuten el cual debe estar informado y entrenado para actuar en las funciones que le hayan sido encomendadas en caso de producirse una amenaza o impacto
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 89
Continuidad Operacional
Business Continuity Planning (Plan de Continuidad de negocios)
bull Plan Baacutesico
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Coldsite)
bull Plan Intermedio
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan Alto
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan de respuesta y continuidad de negocios alternativo (sin asistencia de sistemas)
bull Stress Testing al Plan
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 90
El Stress Testing
bull Poner a prueba el planbull Revise y evalueacute
bull Respaldosbull Oportunidad integridad y funcionalidadbull Custodia y transporte
bull Cold y Hotsitebull Funcionalidad accesibilidad y compatibilidadbull Actualizacioacuten oportuna (hotsite)
bull Personalbull Roles y funcionesbull Accesibilidad (contactos y comunicaciones)
bull Simulacioacuten de cataacutestrofesbull Sin previo aviso el director encargado del BCP se presenta en el centro de computo
cronometro en mano y baja la cuchilla de electricidad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 91
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de Lehman Brothers
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el WorldTrade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehman se desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del World Trade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehman teniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 92
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de LehmanBrothers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 93
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el World Trade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehmanse desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 94
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del WorldTrade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehmanteniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 95
La Contingencia Manual la Uacuteltima Frontera
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 96
05062015 97
DATOS BAacuteSICOS
Responsable A Nivel Corporativo Responsable(s) A Nivel Regional
PROVEEDOR (ES)
Origen Responsable Insumo (s)
RESULTADOS
Normas y Procedimientos Asociados Fecha uacuteltima revisioacuten Sistemas Aplicaciones Asociadas
Proceso
CALIFICACIOacuteN DE CONTROLES DE ENTRADA
Actividad
RECOMENDACIONES
Procesamiento
Automaacutetico (A)Manual (M)
Frecuencia
Adiestramiento Proceso Sistema N y P Otros
Negocio Area Localidad
Responsable
Nombre CargoNombre Cargo
NOMBRE
ELABORADO POR
CARGO FIRMA
Calidad de Data (B) Buena (R) Regular (M) Mala Oportunidad (AT) A Tiempo (R) Retrasada Revisioacuten Aprobacioacuten (S) Si (N) NoLEYENDA
Calificacioacuten (F) Fuerte (M) Medio (B) Bajo
DescripcioacutenResponsableDescripcioacuten
Tarea
Descripcioacuten
FRECUENCIA DE LA TAREA Diaria (D) Semanal (S) Mensual (M) Trimestral (T) Anual (A) Ocasional (O)
Soportes Recepcioacuten (P) Papel (E) Electroacutenico Archivo (S) Si (N) No Soportes Enviacuteo (S) Si (N) No Backup (S) Si (N) No
Producto (s) Cliente ReceptorControl
de salida
SoportesFrecuencia
Recepcioacuten Backup
DOCUMENTOS SISTEMAS ASOCIADOS A LOS CONTROLES
CALIFICACIOacuteN DE CONTROLES (por parte del Cliente Receptor)
Revisioacuten
Aprobacioacuten
Revisioacuten
AprobacioacutenTipo de control
Procesamiento
Automaacutetico (A)Manual (M)
Control
De EntradaTipo de control
Soportes
Recepcioacuten Archivo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 98
DATOS BAacuteSICOS
TareaActividad
Proceso Responsable del Proceso
Fecha de Elaboracioacuten 2015
Accioacuten (es) Responsable (s)
OBSERVACIONES ELABORADO POR
FIRMA
NOMBRE
Plan de recuperacioacuten y Reactivacioacuten de Finanzas
Recomendaciones Acciones
La Cadena de Valor de una Organizacioacuten de Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 99
ASESORAR EN CONTROLES DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR DELEGACIONES FINANCIERAS
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
CONTROLAR SEGURIDAD SISTEMA
OPERACIONALES ADMINISTRATIVOS Y OTROS
SISTEMAS FINANCIEROS
DESARROLLAR CONTROLES
DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR Y DESARROLLAR PLAN INTEGRAL DE CONTROL ( PIC )
Asesorar en controles de procesos normas y
Procedimientos
Administrar delegaciones financieras
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
Controlar seguridad sistema
operacionales administrativos y otros
sistemas financieros
Desarrollar
controles de
procesos
normas y
procedimientos
Administrar y desarrollar plan integral de control ( PIC )
Riesgos Amenazas
VulnerabilidadesGestioacuten de Riesgos en TI
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 25
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 26
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 27
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
DE ATAQUES INTERNOS PARA DANtildeAR DATOS O SISTEMAS FRAUDES ERRORES EN EL MANEJO DE
SISTEMAS
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 28
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 29
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 30
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 31
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Seguridad Informaacutetica a Nivel de Usuarios
bull Los usuarios se acostumbran a usar la tecnologiacutea sin saber como funciona o de los riesgos que pueden correr
bull Son el punto de entrada de muchos de los problemas croacutenicos
bull Son ldquoEl eslaboacuten maacutes deacutebilrdquo en la cadena de seguridad
Usuarios comunes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 32
Seguridad Informaacutetica a Nivel de Usuarios
bull Principio del MENOR PRIVILEGIO POSIBLE
bull EDUCAR AL USUARIO
Dos enfoques para
controlarlos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 33
Seguridad Informaacutetica a Nivel de Usuarios
Principio del MENOR PRIVILEGIO POSIBLE Implica seguridad de
acceso al sistema (usuario password perfiles de usuario de
manera transaccional ndash seguridad por posicioacuten workflow)
bull Reducir la capacidad de accioacuten del usuario sobre los sistemas
bull Objetivo Lograr el menor dantildeo posible en caso de incidentes
Administracioacuten de privilegios
bull Usuarios uacutenicos e intransferibles
bull Procesos de desactivacioacuten de cuentas y activacioacuten del reemplazo (en periacuteodos vacacionales y de reposos)
bull Administracioacuten de claves de acceso
bull Alfanumeacutericas + caracteres especiales + mayuacutesculas minuacutesculas
bull Caducidad
bull Bloqueo por intentos fallidos
bull Prohibicioacuten de palabras y datos de uso comuacuten o asociadas al usuario
bull Reseteo de clave de forma automaacutetica con preguntas de desafiacuteo (pe usando datos encriptados que solo el usuario conoce como fecha de ingreso a la empresa)
bull Perfil de usuario
bull De acuerdo a la actividad y delegacioacuten de autoridad de acuerdo a su posicioacuten y responsabilidades
bull Esquemas de proteccioacuten de datos e informacioacuten (Privado Confidencial y Estrictamente Privado y Confidencial) seguacuten la posicioacuten y actividades (previendo delincuencia comuacuten o DDOO)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 34
Seguridad Informaacutetica a Nivel de Usuarios
EDUCAR AL USUARIO
bull Documentar y publicar todas las normas y procedimientos asociados
bull Generar una cultura de seguridad El usuario ayuda a reforzar y aplicar los mecanismos de seguridad
bull Objetivo Reducir el nuacutemero de incidentes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 35
Adicionales a los que ya
se mostroacute para
usuarios comunes se
debe
bull Seguridad de acceso a las instalaciones (aacuterea de desarrollo y aacuterea de servidores o main frame)
bull Poliacutetica de respaldo de informacioacuten y programas que incluyan backups in situ outside a modo copia espejo e incremental (solo variaciones)
bull Poliacuteticas de sustraccioacuten de datos incluyendo el uso de CDROM y Pendrivers (Wikiliks)
bull Crear ambientes de desarrollo de software aislados de los ambientes de produccioacuten (operaciones de la empresa) y de prueba Crear ambientes de prueba con participacioacuten funcional
bull Crear protocolos de procesos de cambio (implantacioacuten de sistemas actualizacioacuten de software incluidos los sistemas operativos) que incluyan respaldo total de programas y datos a modo espejo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 36
Seguridad Informaacutetica a Nivel de Usuarios
Vulnerabilidad
bull En un sistema informaacutetico lo que queremos proteger son sus activos es decir los recursos que forman parte del sistema y que podemos agrupar enbull - Hardware - Software
bull - Datos - Otros
bull Los mas criacuteticos son los datos el hardware y el software Es decir los datos que estaacuten almacenados en el hardware y que son procesados por las aplicaciones software
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 37
Vulnerabilidad
bull Es la debilidad de cualquier tipo que compromete la seguridad del sistema informaacutetico
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 38
Disentildeobull Debilidad en el disentildeo de protocolos utilizados en las redes
bull Poliacuteticas de seguridad deficientes e inexistentes
Implementacioacuten
bull Errores de programacioacuten
bull Existencia de ldquopuertas traserasrdquo en los sistemas informaacuteticos
bull Descuido de los fabricantes
Uso
bull Mala configuracioacuten de los sistemas informaacuteticos
bull Desconocimiento y falta de sensibilizacioacuten de los usuarios y de los responsables de informaacutetica
bull Disponibilidad de herramientas que facilitan los ataques
bull Limitacioacuten gubernamental de tecnologiacuteas de seguridad
Vulnerabilidades conocidas
bull Firewall
bull Antivirus
bull Malware
bull Antispy
bull Protocolos de encriptacioacuten
bull Firmas digitales
bull Monitoreo de redes (Comunity Manager)
Consisten en ataques
intercepciones de datos y enviacuteo de
informacioacuten usurpando identidad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 39
Vulnerabilidades
bull Ataques contra el flujo de la informacioacuten FLUJO NORMAL
Los mensajes en una red se enviacutean a partir de un emisor a uno o varios receptores
El atacante es un tercer elemento en la realidad existen millones de elementos atacantesintencionales o accidentales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 40
Emisor Receptor
Atacante
bull INTERRUPCIONbull El mensaje no puede llegar a su destino un recurso del sistema es destruido o
temporalmente inutilizado
bull Este es un ataque contra la Disponibilidad
bull Ejemplos Destruccioacuten de una pieza de hardware cortar los medios de comunicacioacuten o deshabilitar los sistemas de administracioacuten de archivos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 41
Vulnerabilidades
Emisor
Atacante
Receptor
Vulnerabilidades
bull INTERCEPCIONbull Una persona computadora o programa sin autorizacioacuten logra el acceso a un
recurso controlado
bull Es un ataque contra la Confidencialidad
bull Ejemplos Escuchas electroacutenicos copias iliacutecitas de programas o datos escalamiento de privilegios
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 42
Emisor
Atacante
Receptor
Vulnerabilidades
bull MODIFICACIONbull La persona sin autorizacioacuten ademaacutes de lograr el acceso modifica el mensaje
bull Este es un ataque contra la Integridad
bull Ejemplos Alterar la informacioacuten que se transmite desde una base de datos modificar los mensajes entre programas para que se comporten diferente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 43
bull FABRICACIONbull Una persona sin autorizacioacuten inserta objetos falsos en el sistemabull Es un ataque contra la Autenticidadbull Ejemplos Suplantacioacuten de identidades robo de sesiones robo de contrasentildeas
robo de direcciones IP etcbull Es muy difiacutecil estar seguro de quieacuten esta al otro lado de la liacutenea
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 44
Vulnerabilidades
Emisor
Atacante
Receptor
iquestQuienes Atacan los Sistemas
Gobiernos Extranjeros
Espiacuteas industriales o poliacuteticos
Criminales
Empleados descontentos y abusos internos
Adolescentes sin nada que hacer
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 45
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 46
Estado del ataque Ejemplo de Acciones
1-Buacutesqueda de Ingreso Correr un scanner de puertos
2-Penetracioacuten Explorar un sistema sin parches de seguridad
3-Elevacioacuten de Privilegios Lograr cuenta de Administrador
5-Enmascaramiento Borrado de rastros del ingreso y ataque
4-Ataque en si mismo Robo de datos destruccioacuten del sitio web etc
INTRUSO
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 47
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 48
Actuacioacuten del Criminal
bull Se requieren talentos especiales
bull El fraude ha crecido gracias a la aparicioacuten de las computadoras
Mitos
bull Dinero
bull Satisfaccioacuten (egocentrismo)
bull Ideologiacutea
bull Psicosis
Motivaciones personales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 49
bull Ambiente de trabajo
bull Prestaciones
bull Nivel de confianza interpersonal
bull Eacutetica ambiental
bull Nivel de stress
bull AMBIENTE DE CONTROL INTERNO
Motivaciones ambientales
Ethical Hacking
Es una intrusioacuten eacutetica es la aplicacioacuten de herramientas de intrusioacuten penetracioacuten robo personificacioacuten y negacioacuten de servicio llevado a cabo por hackers eacuteticos es decir personas con la experiencia y conocimiento suficiente para llevar a cabo estas pruebas en nombre de la organizacioacuten es decir de manera legal y prevista para determinar el nivel de seguridad de una red de equipos o servicios (incluido el aspecto de ingenieriacutea social)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 50
Ethical Hacking
bull al conocer el nivel de seguridad que se tiene en nuestra organizacioacuten es mucho maacutes sencillo no simple el tomar medidas que puedan subsanar estas deficienciasiquestPor queacute es
Importante
bull No al usar las armas que el enemigo usa es maacutes factible que podamos determinar el nivel de riesgo y por tanto la respuesta que debemos dar ante un ataque vieacutendolo como analogiacutea meacutedica es como cuando nos vacunan pues nos inoculan una versioacuten del virus del cual nos quieren hacer inmunes
iquestNo es contraproducente
bull Al contratar un servicio o realizarlo de manera interna estamos confiando en la eacutetica profesional de quien evaluacutea por lo que siacute siempre llevamos un riesgo pero se establece un contrato de buena fe hacieacutendolo suficientemente fiable (asegurando)iquestEs fiable
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 51
Ejemplos de Criacutemenes Electroacutenicos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 52
Ataque en 1986 de alemanes trabajando para la KGB contra sistemas estrateacutegicos de EEUU (Clifford Stoll Cuckooacutes egg)
El gusano Morris que se propagoacute por internet en 1988
causando un problema de DoS La causa fue la interrupcioacuten
causada por un programa escrito por Robert Tappan Morris
414 Gang enviacutea ataques contra los registros meacutedicos del
hospital para enfermos de caacutencer Sloan-Kettering
Ataques de Kevin Mitnick 1989-1996
Penetracioacuten de la red de Microsoft en octubre de 2000
por un cracker que ganoacute acceso a programas en desarrollo
Esparcimiento del Love Letter difundido por Onel Guzmaacuten en
Filipinas
53
DDoS contra Yahoo Amazon y Zdnet
Muacuteltiples problemas por virus desde
entonces
Target (Robo de informacioacuten de clientes
Identidad y datos financieros)
Juegos del Hambre
Ataque a Sony (Cyberterrorismo) y la
Respuesta con el apagoacuten de internet a
Korea del Norte
Carnabank (Europa oriental europa
occidental EEUU Panamaacute)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
Ejemplos de Criacutemenes Electroacutenicos
Algunas Clases de Ataques
Negacioacuten de Servicio (DoS)
Robo de contrasentildeas
Robo de identidad
Ingenieriacutea social
Defacement
FraudePirateriacutea de
softwareDumpster
divingCoacutedigo
MaliciosoIP spoofing
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 54
Algunas Clases de Ataques
EspionajeDestruccioacuten o alteracioacuten de informacioacuten
Uso de scripts de ataque
desarrolladosPhishing
Ciber -Terrorismo
War DialingWar
DrivingWalkingWar Chalking
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 55
El Caso Carbanak 1MMMUS$
La banda delictiva ciberneacutetica CARBANAK roba mil millones de doacutelares de 100 instituciones financieras en todo el mundo Kaspersky Lab la INTERPOL EUROPOL y autoridades de diferentes paiacuteses han unido sus fuerzas para dejar al descubierto el complot delictivo de un robo ciberneacutetico sin precedentes Hasta mil millones de doacutelares americanos fueron robados en cerca de dos antildeos de instituciones financieras en todo el mundo Los expertos informan que la responsabilidad del robo recae en una banda multinacional de ciberdelincuentesde Rusia Ucrania y otras partes de Europa asiacute como de China
La banda CARBANAK responsable del robo ciberneacutetico utilizoacute teacutecnicas extraiacutedas del arsenal de los ataques selectivos El complot marca el inicio de una nueva etapa en la evolucioacuten de la actividad de delincuencia ciberneacutetica donde usuarios maliciosos roban dinero directamente de los bancos y evitan concentrar sus ataques en los usuarios finales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 56
Comunicado de prensa 160215 - Karpersky
5705062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
MALWARE
El malware es un tipo de software que tiene como objetivo infiltrarse o dantildear un ordenador sistema de informacioacuten sin el consentimiento de su propietario
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 58
POPUP
bull Un pop-up es un tipo de ventana web que aparece delante de la ventana de un navegador al visitar una paacutegina web
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 59
VOLVER
ADWARE
bull Un programa de clase adware es cualquier programa que automaacuteticamente muestra publicidad web al usuario durante su instalacioacuten o durante su uso para generar lucro a sus autores
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 60
SPAM
bull Se llama spam correo basura a los mensajes no solicitados no deseados o de remitente no conocido habitualmente de tipo publicitario generalmente enviados
en grandes cantidades que perjudican al receptor
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 61
Bomba Loacutegica
Son programas informaacuteticos que se instala en un ordenador y permanece oculto hasta cumplirse una o maacutes condiciones preprogramadas para en ese momento ejecutar una accioacuten
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 62
volver
VIRUS DE MACROS
bull Es una secuencia de oacuterdenes de teclado y ratoacuten asignadas a una sola tecla Los virus de macros afectan a archivos y plantillas que los contienen hacieacutendose pasar por una macro y no actuaraacuten hasta que el archivo se abra o utilice
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 63
VOLVER
VIRUS RESIDENTES
bull Se colocan automaacuteticamente en la memoria RAM del ordenador De este modo pueden controlar e interceptar todas las operaciones llevadas a cabo por el sistema operativo infectando todos aquellos ficheros yo programas que sean ejecutados abiertos cerrados renombrados copiados etc
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 64
VIRUS DE ENLACE
bull Modifican las direcciones que permiten a nivel interno acceder a cada uno de los archivos existentes y como consecuencia no es posible localizarlos y trabajar con ellos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 65
VOLVER
VIRUS MUTANTES
bull Son virus que mutan es decir x Debido a estas mutaciones cada generacioacuten de virus es diferente a la versioacuten anterior dificultando asiacute su deteccioacuten y eliminacioacuten
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 66
VIRUS DE BOOT
bull Se activan en el momento en el que se arranca el ordenador desde un disco infectado ya sea desde el disco duro o desde una memoria USB
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 67
VOLVER
VIRUS DE PROGRAMA
bull Comuacutenmente infectan archivos con extensiones EXE COM OVL DRV BIN DLL y SYS
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 68
VOLVER
VIRUS DE SOBREESCRITURA
bull Sobre-escriben en el interior de los archivos atacados haciendo que se pierda el contenido de los mismos
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 69
Ataques de Seguridad
bull Spyware Es un software de computadoraque al instalarse intercepta o toma controlparcial de la interaccioacuten de lacomputadora y el usuario esto sin que elmismo se de cuenta Estos programaspueden recolectar diferentes tipos deinformacioacuten de los usuarios asiacute comoinstalar software adicional sin elconsentimiento de los mismos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 70
71
Herramientas de Seguridad
bull Gusano Es un programa de computadora quepuede replicarse a si mismo utiliza la red paraenviar copias de si mismo a otros nodos y lopuede hacer sin la intervencioacuten del usuario
A diferencia de los ldquovirusrdquo los gusanos nonecesitan estar amarrados a un programa y sufuncioacuten es principalmente dantildear la red (ejdesempentildeo) mientras que los virus dantildeanarchivos en computadoras
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
72
Ataques de Seguridad
bull Caballo de Troya Es una programa que seinstala bajo la creencia de que se estainstalando alguna otra cosa Los troyanosson programas muy utilizados parainstalar programas tipo ldquobackdoorsrdquo quepermiten el acceso no autorizado a lacomputadora atacada un ejemplo deprogramas tipo backdoor son losKeyloogers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
73
Ataques de Seguridad
bull DoS Denial of service- Ataques quehacen indisponible un servicio a losusuarios
bull DDoS Son conocidos como DNSBackbone Distributed Denial ofServices ndash Ataques tienen comoblanco los servidores raiacutez DNS por lotanto afectan uno de los pilares delInternet los nombres de los dominios
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
74
Ataques de Seguridad
bull Footprinting Teacutecnica utilizada para reunir informacioacuten acerca de sistemas computacionales y las entidades a las que pertenece algunos ejemplos son
- Domain queries
- Network queries
- Organizational queries
- TCP scans
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
75
Ataques de Seguridad
bull Fingerprinting Tambieacuten es conocidocomo TCPIP stack fingerprinting y esutilizado para determinar que sistemaoperativo utiliza alguacuten blanco en la redExiste dos tipos de fingerprinting
- Pasivo- Activo
NMAP es una herramienta que utilizafingerprinting activo para mapearpuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
76
Ataques de Seguridad
bull Escaneo de puertos El escaneo depuertos se basa en el FingerprintingActivo es decir transmite y recibesentildeales como ICMP TELNET SNMPdesde un blanco determinado en lared esto con el fin de obtenerinformacioacuten de dicho blanco en estecaso informacioacuten acerca de suspuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
77
Ataques de Seguridad
bull Sniffing Para llevar a cabo el sniffing esnecesario contar con un ldquopacket snifferrdquoque puede ser software instalado en unacomputadora o un dispositivoindependiente (appliance) estedispositivo es utilizado para interceptar yregistrar traacutefico que pasa a traveacutes de unared o de un segmento de la misma(Puede ser de una red ethernet owireless)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
78
Ataques de Seguridad
bull Spoofing Los ataques tipo spoofing sonaquellos en los que una persona oprograma logra hacerse pasar por otrafalsificando informacioacuten o utilizando laingenieriacutea algunos ataques tipo spoofingson los siguientes
- Falsificacioacuten de direccioacuten de email
- Falsificacioacuten de ID de llamadas telefoacutenicas
- Falsificacioacuten de sitios de internet (phishing)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
79
Ataques de Seguridad
bull Phishing Es el uso de teacutecnicas deingenieriacutea social con la finalidad deadquirir de manera fraudulentainformacioacuten confidencial comonombres de usuarios contrasentildeasinformacioacuten de tarjetas de creacutedito
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
80
Ataques de Seguridad
bull Ingenieriacutea Social Se refiere a unacoleccioacuten de teacutecnicas utilizadas paramanipular a las personas para querealicen alguna accioacuten o divulgueninformacioacuten confidencial
Algunos ingenieros sociales notablesson
- Kevin Mitnik
- Frank Abagnale
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
Ingenieriacutea Social
Es el conjunto de meacutetodos y praacutecticas usados para obtener informacioacuten de usuarios legiacutetimos y con la informacioacuten obtenida lograr acceso a sistemas protegidos siendo esta praacutectica de uso comuacuten entre piratas informaacuteticos y delincuentes computacionales
Coacutemo me afecta Al no validar las referencias o no seguir el protocolo de seguridad adecuado para divulgar contrasentildeas o cualquier otra informacioacuten sensible podemos ser coacutemplices de un crimen Meacutexico ha acordado con organismos internacionales la homologacioacuten yo adecuacioacuten de coacutedigos penales para que estos delitos sean perseguidos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 81
Ingenieriacutea Social
Coacutemo puedo saber si estoy siendo viacutectima de un ingeniero social Muy simple cuando alguien nos pide alguacuten tipo de informacioacuten privilegiada y esta persona es insistente cuando le requerimos seguir un protocolo para validar su intencioacuten es altamente probable que estemos siendo viacutectimas de un intento de robo de informacioacuten por un ingeniero socialhacker
Coacutemo puedo evitarlo Sencillo si no confiamos en la persona que nos solicita los datos (supongamos un teacutecnico de soporte de nuestro lugar de trabajo) podemos pedirle que nos deje sus datos y comunicarnos con el 10 minutos despueacutes de validar que la peticioacuten es legiacutetima es decir soacutelo sigamos los protocolos que existen en el trabajo y crear los propios en casa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 82
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra los Sistemas que Utilizan Tecnologiacuteas de Informacioacuten
bull Artiacuteculo 6 Acceso indebido
bull Artiacuteculo 7 Sabotaje o dantildeo a sistemas
bull Artiacuteculo 8 Favorecimiento culposo del sabotaje o dantildeo
bull Artiacuteculo 9 Acceso indebido o sabotaje a sistemas protegidos
bull Artiacuteculo 10 Posesioacuten de equipos o prestacioacuten de servicios de sabotaje
bull Artiacuteculo 11 Espionaje informaacutetico
bull Artiacuteculo 12 Falsificacioacuten de documentos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 83
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Propiedad
bull Artiacuteculo 13 Hurto
bull Artiacuteculo 14 Fraude
bull Artiacuteculo 15 Obtencioacuten indebida de bienes o servicios
bull Artiacuteculo 16 Manejo fraudulento de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 17 Apropiacioacuten de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 18 Provisioacuten indebida de bienes o servicios
bull Artiacuteculo 19 Posesioacuten de equipo para falsificaciones
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 84
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Privacidad de las Personas y de las Comunicaciones
bullArtiacuteculo 20 Violacioacuten de la privacidad de la data o informacioacuten de caraacutecter personal
bullArtiacuteculo 21 Violacioacuten de la privacidad de las comunicaciones
bullArtiacuteculo 22 Revelacioacuten indebida de data o informacioacuten de caraacutecter personal
De los Delitos Contra Nintildeos Nintildeas o Adolescentes
bullArtiacuteculo 23 Difusioacuten o exhibicioacuten de material pornograacutefico
bullArtiacuteculo 24 Exhibicioacuten pornograacutefica de nintildeos o adolescentes
De los Delitos Contra el Orden Econoacutemico
bullArtiacuteculo 25 Apropiacioacuten de propiedad intelectual
bullArtiacuteculo 26 Oferta engantildeosa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 85
Plan de Contingencia Continuidad Operacional
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 86
Plan de Contingencia
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 87
ldquoConjunto de Normas y Procedimientos documentadosy comunicados que tienen por objetivo minimizar los riesgos informaacuteticos mas probablesrdquo
InvolucrabullUso de herramientas
bullCumplimiento de Tareas por
parte de personas
Plan de Contingencia
Consta de tres subplanes independientes
bull Plan de Respaldo crear y conservar en un lugar seguro copias de seguridad de la informacioacuten
bull Pla de Emergencia queacute medidas tomar cuando se estaacute materializando una amenaza o cuando acaba de producirse
bull Plan de Recuperacioacuten medidas que se aplicaran cuando se ha producido un desastre El objetivo es evaluar el impacto y regresar lo antes posible
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 88
Plan de Contingencia
En la elaboracioacuten de este plan no se puede dejar por fuera a los miembros de la organizacioacuten el cual debe estar informado y entrenado para actuar en las funciones que le hayan sido encomendadas en caso de producirse una amenaza o impacto
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 89
Continuidad Operacional
Business Continuity Planning (Plan de Continuidad de negocios)
bull Plan Baacutesico
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Coldsite)
bull Plan Intermedio
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan Alto
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan de respuesta y continuidad de negocios alternativo (sin asistencia de sistemas)
bull Stress Testing al Plan
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 90
El Stress Testing
bull Poner a prueba el planbull Revise y evalueacute
bull Respaldosbull Oportunidad integridad y funcionalidadbull Custodia y transporte
bull Cold y Hotsitebull Funcionalidad accesibilidad y compatibilidadbull Actualizacioacuten oportuna (hotsite)
bull Personalbull Roles y funcionesbull Accesibilidad (contactos y comunicaciones)
bull Simulacioacuten de cataacutestrofesbull Sin previo aviso el director encargado del BCP se presenta en el centro de computo
cronometro en mano y baja la cuchilla de electricidad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 91
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de Lehman Brothers
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el WorldTrade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehman se desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del World Trade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehman teniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 92
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de LehmanBrothers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 93
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el World Trade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehmanse desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 94
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del WorldTrade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehmanteniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 95
La Contingencia Manual la Uacuteltima Frontera
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 96
05062015 97
DATOS BAacuteSICOS
Responsable A Nivel Corporativo Responsable(s) A Nivel Regional
PROVEEDOR (ES)
Origen Responsable Insumo (s)
RESULTADOS
Normas y Procedimientos Asociados Fecha uacuteltima revisioacuten Sistemas Aplicaciones Asociadas
Proceso
CALIFICACIOacuteN DE CONTROLES DE ENTRADA
Actividad
RECOMENDACIONES
Procesamiento
Automaacutetico (A)Manual (M)
Frecuencia
Adiestramiento Proceso Sistema N y P Otros
Negocio Area Localidad
Responsable
Nombre CargoNombre Cargo
NOMBRE
ELABORADO POR
CARGO FIRMA
Calidad de Data (B) Buena (R) Regular (M) Mala Oportunidad (AT) A Tiempo (R) Retrasada Revisioacuten Aprobacioacuten (S) Si (N) NoLEYENDA
Calificacioacuten (F) Fuerte (M) Medio (B) Bajo
DescripcioacutenResponsableDescripcioacuten
Tarea
Descripcioacuten
FRECUENCIA DE LA TAREA Diaria (D) Semanal (S) Mensual (M) Trimestral (T) Anual (A) Ocasional (O)
Soportes Recepcioacuten (P) Papel (E) Electroacutenico Archivo (S) Si (N) No Soportes Enviacuteo (S) Si (N) No Backup (S) Si (N) No
Producto (s) Cliente ReceptorControl
de salida
SoportesFrecuencia
Recepcioacuten Backup
DOCUMENTOS SISTEMAS ASOCIADOS A LOS CONTROLES
CALIFICACIOacuteN DE CONTROLES (por parte del Cliente Receptor)
Revisioacuten
Aprobacioacuten
Revisioacuten
AprobacioacutenTipo de control
Procesamiento
Automaacutetico (A)Manual (M)
Control
De EntradaTipo de control
Soportes
Recepcioacuten Archivo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 98
DATOS BAacuteSICOS
TareaActividad
Proceso Responsable del Proceso
Fecha de Elaboracioacuten 2015
Accioacuten (es) Responsable (s)
OBSERVACIONES ELABORADO POR
FIRMA
NOMBRE
Plan de recuperacioacuten y Reactivacioacuten de Finanzas
Recomendaciones Acciones
La Cadena de Valor de una Organizacioacuten de Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 99
ASESORAR EN CONTROLES DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR DELEGACIONES FINANCIERAS
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
CONTROLAR SEGURIDAD SISTEMA
OPERACIONALES ADMINISTRATIVOS Y OTROS
SISTEMAS FINANCIEROS
DESARROLLAR CONTROLES
DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR Y DESARROLLAR PLAN INTEGRAL DE CONTROL ( PIC )
Asesorar en controles de procesos normas y
Procedimientos
Administrar delegaciones financieras
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
Controlar seguridad sistema
operacionales administrativos y otros
sistemas financieros
Desarrollar
controles de
procesos
normas y
procedimientos
Administrar y desarrollar plan integral de control ( PIC )
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 26
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 27
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
DE ATAQUES INTERNOS PARA DANtildeAR DATOS O SISTEMAS FRAUDES ERRORES EN EL MANEJO DE
SISTEMAS
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 28
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 29
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 30
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 31
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Seguridad Informaacutetica a Nivel de Usuarios
bull Los usuarios se acostumbran a usar la tecnologiacutea sin saber como funciona o de los riesgos que pueden correr
bull Son el punto de entrada de muchos de los problemas croacutenicos
bull Son ldquoEl eslaboacuten maacutes deacutebilrdquo en la cadena de seguridad
Usuarios comunes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 32
Seguridad Informaacutetica a Nivel de Usuarios
bull Principio del MENOR PRIVILEGIO POSIBLE
bull EDUCAR AL USUARIO
Dos enfoques para
controlarlos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 33
Seguridad Informaacutetica a Nivel de Usuarios
Principio del MENOR PRIVILEGIO POSIBLE Implica seguridad de
acceso al sistema (usuario password perfiles de usuario de
manera transaccional ndash seguridad por posicioacuten workflow)
bull Reducir la capacidad de accioacuten del usuario sobre los sistemas
bull Objetivo Lograr el menor dantildeo posible en caso de incidentes
Administracioacuten de privilegios
bull Usuarios uacutenicos e intransferibles
bull Procesos de desactivacioacuten de cuentas y activacioacuten del reemplazo (en periacuteodos vacacionales y de reposos)
bull Administracioacuten de claves de acceso
bull Alfanumeacutericas + caracteres especiales + mayuacutesculas minuacutesculas
bull Caducidad
bull Bloqueo por intentos fallidos
bull Prohibicioacuten de palabras y datos de uso comuacuten o asociadas al usuario
bull Reseteo de clave de forma automaacutetica con preguntas de desafiacuteo (pe usando datos encriptados que solo el usuario conoce como fecha de ingreso a la empresa)
bull Perfil de usuario
bull De acuerdo a la actividad y delegacioacuten de autoridad de acuerdo a su posicioacuten y responsabilidades
bull Esquemas de proteccioacuten de datos e informacioacuten (Privado Confidencial y Estrictamente Privado y Confidencial) seguacuten la posicioacuten y actividades (previendo delincuencia comuacuten o DDOO)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 34
Seguridad Informaacutetica a Nivel de Usuarios
EDUCAR AL USUARIO
bull Documentar y publicar todas las normas y procedimientos asociados
bull Generar una cultura de seguridad El usuario ayuda a reforzar y aplicar los mecanismos de seguridad
bull Objetivo Reducir el nuacutemero de incidentes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 35
Adicionales a los que ya
se mostroacute para
usuarios comunes se
debe
bull Seguridad de acceso a las instalaciones (aacuterea de desarrollo y aacuterea de servidores o main frame)
bull Poliacutetica de respaldo de informacioacuten y programas que incluyan backups in situ outside a modo copia espejo e incremental (solo variaciones)
bull Poliacuteticas de sustraccioacuten de datos incluyendo el uso de CDROM y Pendrivers (Wikiliks)
bull Crear ambientes de desarrollo de software aislados de los ambientes de produccioacuten (operaciones de la empresa) y de prueba Crear ambientes de prueba con participacioacuten funcional
bull Crear protocolos de procesos de cambio (implantacioacuten de sistemas actualizacioacuten de software incluidos los sistemas operativos) que incluyan respaldo total de programas y datos a modo espejo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 36
Seguridad Informaacutetica a Nivel de Usuarios
Vulnerabilidad
bull En un sistema informaacutetico lo que queremos proteger son sus activos es decir los recursos que forman parte del sistema y que podemos agrupar enbull - Hardware - Software
bull - Datos - Otros
bull Los mas criacuteticos son los datos el hardware y el software Es decir los datos que estaacuten almacenados en el hardware y que son procesados por las aplicaciones software
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 37
Vulnerabilidad
bull Es la debilidad de cualquier tipo que compromete la seguridad del sistema informaacutetico
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 38
Disentildeobull Debilidad en el disentildeo de protocolos utilizados en las redes
bull Poliacuteticas de seguridad deficientes e inexistentes
Implementacioacuten
bull Errores de programacioacuten
bull Existencia de ldquopuertas traserasrdquo en los sistemas informaacuteticos
bull Descuido de los fabricantes
Uso
bull Mala configuracioacuten de los sistemas informaacuteticos
bull Desconocimiento y falta de sensibilizacioacuten de los usuarios y de los responsables de informaacutetica
bull Disponibilidad de herramientas que facilitan los ataques
bull Limitacioacuten gubernamental de tecnologiacuteas de seguridad
Vulnerabilidades conocidas
bull Firewall
bull Antivirus
bull Malware
bull Antispy
bull Protocolos de encriptacioacuten
bull Firmas digitales
bull Monitoreo de redes (Comunity Manager)
Consisten en ataques
intercepciones de datos y enviacuteo de
informacioacuten usurpando identidad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 39
Vulnerabilidades
bull Ataques contra el flujo de la informacioacuten FLUJO NORMAL
Los mensajes en una red se enviacutean a partir de un emisor a uno o varios receptores
El atacante es un tercer elemento en la realidad existen millones de elementos atacantesintencionales o accidentales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 40
Emisor Receptor
Atacante
bull INTERRUPCIONbull El mensaje no puede llegar a su destino un recurso del sistema es destruido o
temporalmente inutilizado
bull Este es un ataque contra la Disponibilidad
bull Ejemplos Destruccioacuten de una pieza de hardware cortar los medios de comunicacioacuten o deshabilitar los sistemas de administracioacuten de archivos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 41
Vulnerabilidades
Emisor
Atacante
Receptor
Vulnerabilidades
bull INTERCEPCIONbull Una persona computadora o programa sin autorizacioacuten logra el acceso a un
recurso controlado
bull Es un ataque contra la Confidencialidad
bull Ejemplos Escuchas electroacutenicos copias iliacutecitas de programas o datos escalamiento de privilegios
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 42
Emisor
Atacante
Receptor
Vulnerabilidades
bull MODIFICACIONbull La persona sin autorizacioacuten ademaacutes de lograr el acceso modifica el mensaje
bull Este es un ataque contra la Integridad
bull Ejemplos Alterar la informacioacuten que se transmite desde una base de datos modificar los mensajes entre programas para que se comporten diferente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 43
bull FABRICACIONbull Una persona sin autorizacioacuten inserta objetos falsos en el sistemabull Es un ataque contra la Autenticidadbull Ejemplos Suplantacioacuten de identidades robo de sesiones robo de contrasentildeas
robo de direcciones IP etcbull Es muy difiacutecil estar seguro de quieacuten esta al otro lado de la liacutenea
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 44
Vulnerabilidades
Emisor
Atacante
Receptor
iquestQuienes Atacan los Sistemas
Gobiernos Extranjeros
Espiacuteas industriales o poliacuteticos
Criminales
Empleados descontentos y abusos internos
Adolescentes sin nada que hacer
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 45
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 46
Estado del ataque Ejemplo de Acciones
1-Buacutesqueda de Ingreso Correr un scanner de puertos
2-Penetracioacuten Explorar un sistema sin parches de seguridad
3-Elevacioacuten de Privilegios Lograr cuenta de Administrador
5-Enmascaramiento Borrado de rastros del ingreso y ataque
4-Ataque en si mismo Robo de datos destruccioacuten del sitio web etc
INTRUSO
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 47
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 48
Actuacioacuten del Criminal
bull Se requieren talentos especiales
bull El fraude ha crecido gracias a la aparicioacuten de las computadoras
Mitos
bull Dinero
bull Satisfaccioacuten (egocentrismo)
bull Ideologiacutea
bull Psicosis
Motivaciones personales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 49
bull Ambiente de trabajo
bull Prestaciones
bull Nivel de confianza interpersonal
bull Eacutetica ambiental
bull Nivel de stress
bull AMBIENTE DE CONTROL INTERNO
Motivaciones ambientales
Ethical Hacking
Es una intrusioacuten eacutetica es la aplicacioacuten de herramientas de intrusioacuten penetracioacuten robo personificacioacuten y negacioacuten de servicio llevado a cabo por hackers eacuteticos es decir personas con la experiencia y conocimiento suficiente para llevar a cabo estas pruebas en nombre de la organizacioacuten es decir de manera legal y prevista para determinar el nivel de seguridad de una red de equipos o servicios (incluido el aspecto de ingenieriacutea social)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 50
Ethical Hacking
bull al conocer el nivel de seguridad que se tiene en nuestra organizacioacuten es mucho maacutes sencillo no simple el tomar medidas que puedan subsanar estas deficienciasiquestPor queacute es
Importante
bull No al usar las armas que el enemigo usa es maacutes factible que podamos determinar el nivel de riesgo y por tanto la respuesta que debemos dar ante un ataque vieacutendolo como analogiacutea meacutedica es como cuando nos vacunan pues nos inoculan una versioacuten del virus del cual nos quieren hacer inmunes
iquestNo es contraproducente
bull Al contratar un servicio o realizarlo de manera interna estamos confiando en la eacutetica profesional de quien evaluacutea por lo que siacute siempre llevamos un riesgo pero se establece un contrato de buena fe hacieacutendolo suficientemente fiable (asegurando)iquestEs fiable
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 51
Ejemplos de Criacutemenes Electroacutenicos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 52
Ataque en 1986 de alemanes trabajando para la KGB contra sistemas estrateacutegicos de EEUU (Clifford Stoll Cuckooacutes egg)
El gusano Morris que se propagoacute por internet en 1988
causando un problema de DoS La causa fue la interrupcioacuten
causada por un programa escrito por Robert Tappan Morris
414 Gang enviacutea ataques contra los registros meacutedicos del
hospital para enfermos de caacutencer Sloan-Kettering
Ataques de Kevin Mitnick 1989-1996
Penetracioacuten de la red de Microsoft en octubre de 2000
por un cracker que ganoacute acceso a programas en desarrollo
Esparcimiento del Love Letter difundido por Onel Guzmaacuten en
Filipinas
53
DDoS contra Yahoo Amazon y Zdnet
Muacuteltiples problemas por virus desde
entonces
Target (Robo de informacioacuten de clientes
Identidad y datos financieros)
Juegos del Hambre
Ataque a Sony (Cyberterrorismo) y la
Respuesta con el apagoacuten de internet a
Korea del Norte
Carnabank (Europa oriental europa
occidental EEUU Panamaacute)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
Ejemplos de Criacutemenes Electroacutenicos
Algunas Clases de Ataques
Negacioacuten de Servicio (DoS)
Robo de contrasentildeas
Robo de identidad
Ingenieriacutea social
Defacement
FraudePirateriacutea de
softwareDumpster
divingCoacutedigo
MaliciosoIP spoofing
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 54
Algunas Clases de Ataques
EspionajeDestruccioacuten o alteracioacuten de informacioacuten
Uso de scripts de ataque
desarrolladosPhishing
Ciber -Terrorismo
War DialingWar
DrivingWalkingWar Chalking
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 55
El Caso Carbanak 1MMMUS$
La banda delictiva ciberneacutetica CARBANAK roba mil millones de doacutelares de 100 instituciones financieras en todo el mundo Kaspersky Lab la INTERPOL EUROPOL y autoridades de diferentes paiacuteses han unido sus fuerzas para dejar al descubierto el complot delictivo de un robo ciberneacutetico sin precedentes Hasta mil millones de doacutelares americanos fueron robados en cerca de dos antildeos de instituciones financieras en todo el mundo Los expertos informan que la responsabilidad del robo recae en una banda multinacional de ciberdelincuentesde Rusia Ucrania y otras partes de Europa asiacute como de China
La banda CARBANAK responsable del robo ciberneacutetico utilizoacute teacutecnicas extraiacutedas del arsenal de los ataques selectivos El complot marca el inicio de una nueva etapa en la evolucioacuten de la actividad de delincuencia ciberneacutetica donde usuarios maliciosos roban dinero directamente de los bancos y evitan concentrar sus ataques en los usuarios finales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 56
Comunicado de prensa 160215 - Karpersky
5705062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
MALWARE
El malware es un tipo de software que tiene como objetivo infiltrarse o dantildear un ordenador sistema de informacioacuten sin el consentimiento de su propietario
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 58
POPUP
bull Un pop-up es un tipo de ventana web que aparece delante de la ventana de un navegador al visitar una paacutegina web
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 59
VOLVER
ADWARE
bull Un programa de clase adware es cualquier programa que automaacuteticamente muestra publicidad web al usuario durante su instalacioacuten o durante su uso para generar lucro a sus autores
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 60
SPAM
bull Se llama spam correo basura a los mensajes no solicitados no deseados o de remitente no conocido habitualmente de tipo publicitario generalmente enviados
en grandes cantidades que perjudican al receptor
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 61
Bomba Loacutegica
Son programas informaacuteticos que se instala en un ordenador y permanece oculto hasta cumplirse una o maacutes condiciones preprogramadas para en ese momento ejecutar una accioacuten
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 62
volver
VIRUS DE MACROS
bull Es una secuencia de oacuterdenes de teclado y ratoacuten asignadas a una sola tecla Los virus de macros afectan a archivos y plantillas que los contienen hacieacutendose pasar por una macro y no actuaraacuten hasta que el archivo se abra o utilice
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 63
VOLVER
VIRUS RESIDENTES
bull Se colocan automaacuteticamente en la memoria RAM del ordenador De este modo pueden controlar e interceptar todas las operaciones llevadas a cabo por el sistema operativo infectando todos aquellos ficheros yo programas que sean ejecutados abiertos cerrados renombrados copiados etc
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 64
VIRUS DE ENLACE
bull Modifican las direcciones que permiten a nivel interno acceder a cada uno de los archivos existentes y como consecuencia no es posible localizarlos y trabajar con ellos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 65
VOLVER
VIRUS MUTANTES
bull Son virus que mutan es decir x Debido a estas mutaciones cada generacioacuten de virus es diferente a la versioacuten anterior dificultando asiacute su deteccioacuten y eliminacioacuten
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 66
VIRUS DE BOOT
bull Se activan en el momento en el que se arranca el ordenador desde un disco infectado ya sea desde el disco duro o desde una memoria USB
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 67
VOLVER
VIRUS DE PROGRAMA
bull Comuacutenmente infectan archivos con extensiones EXE COM OVL DRV BIN DLL y SYS
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 68
VOLVER
VIRUS DE SOBREESCRITURA
bull Sobre-escriben en el interior de los archivos atacados haciendo que se pierda el contenido de los mismos
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 69
Ataques de Seguridad
bull Spyware Es un software de computadoraque al instalarse intercepta o toma controlparcial de la interaccioacuten de lacomputadora y el usuario esto sin que elmismo se de cuenta Estos programaspueden recolectar diferentes tipos deinformacioacuten de los usuarios asiacute comoinstalar software adicional sin elconsentimiento de los mismos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 70
71
Herramientas de Seguridad
bull Gusano Es un programa de computadora quepuede replicarse a si mismo utiliza la red paraenviar copias de si mismo a otros nodos y lopuede hacer sin la intervencioacuten del usuario
A diferencia de los ldquovirusrdquo los gusanos nonecesitan estar amarrados a un programa y sufuncioacuten es principalmente dantildear la red (ejdesempentildeo) mientras que los virus dantildeanarchivos en computadoras
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
72
Ataques de Seguridad
bull Caballo de Troya Es una programa que seinstala bajo la creencia de que se estainstalando alguna otra cosa Los troyanosson programas muy utilizados parainstalar programas tipo ldquobackdoorsrdquo quepermiten el acceso no autorizado a lacomputadora atacada un ejemplo deprogramas tipo backdoor son losKeyloogers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
73
Ataques de Seguridad
bull DoS Denial of service- Ataques quehacen indisponible un servicio a losusuarios
bull DDoS Son conocidos como DNSBackbone Distributed Denial ofServices ndash Ataques tienen comoblanco los servidores raiacutez DNS por lotanto afectan uno de los pilares delInternet los nombres de los dominios
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
74
Ataques de Seguridad
bull Footprinting Teacutecnica utilizada para reunir informacioacuten acerca de sistemas computacionales y las entidades a las que pertenece algunos ejemplos son
- Domain queries
- Network queries
- Organizational queries
- TCP scans
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
75
Ataques de Seguridad
bull Fingerprinting Tambieacuten es conocidocomo TCPIP stack fingerprinting y esutilizado para determinar que sistemaoperativo utiliza alguacuten blanco en la redExiste dos tipos de fingerprinting
- Pasivo- Activo
NMAP es una herramienta que utilizafingerprinting activo para mapearpuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
76
Ataques de Seguridad
bull Escaneo de puertos El escaneo depuertos se basa en el FingerprintingActivo es decir transmite y recibesentildeales como ICMP TELNET SNMPdesde un blanco determinado en lared esto con el fin de obtenerinformacioacuten de dicho blanco en estecaso informacioacuten acerca de suspuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
77
Ataques de Seguridad
bull Sniffing Para llevar a cabo el sniffing esnecesario contar con un ldquopacket snifferrdquoque puede ser software instalado en unacomputadora o un dispositivoindependiente (appliance) estedispositivo es utilizado para interceptar yregistrar traacutefico que pasa a traveacutes de unared o de un segmento de la misma(Puede ser de una red ethernet owireless)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
78
Ataques de Seguridad
bull Spoofing Los ataques tipo spoofing sonaquellos en los que una persona oprograma logra hacerse pasar por otrafalsificando informacioacuten o utilizando laingenieriacutea algunos ataques tipo spoofingson los siguientes
- Falsificacioacuten de direccioacuten de email
- Falsificacioacuten de ID de llamadas telefoacutenicas
- Falsificacioacuten de sitios de internet (phishing)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
79
Ataques de Seguridad
bull Phishing Es el uso de teacutecnicas deingenieriacutea social con la finalidad deadquirir de manera fraudulentainformacioacuten confidencial comonombres de usuarios contrasentildeasinformacioacuten de tarjetas de creacutedito
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
80
Ataques de Seguridad
bull Ingenieriacutea Social Se refiere a unacoleccioacuten de teacutecnicas utilizadas paramanipular a las personas para querealicen alguna accioacuten o divulgueninformacioacuten confidencial
Algunos ingenieros sociales notablesson
- Kevin Mitnik
- Frank Abagnale
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
Ingenieriacutea Social
Es el conjunto de meacutetodos y praacutecticas usados para obtener informacioacuten de usuarios legiacutetimos y con la informacioacuten obtenida lograr acceso a sistemas protegidos siendo esta praacutectica de uso comuacuten entre piratas informaacuteticos y delincuentes computacionales
Coacutemo me afecta Al no validar las referencias o no seguir el protocolo de seguridad adecuado para divulgar contrasentildeas o cualquier otra informacioacuten sensible podemos ser coacutemplices de un crimen Meacutexico ha acordado con organismos internacionales la homologacioacuten yo adecuacioacuten de coacutedigos penales para que estos delitos sean perseguidos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 81
Ingenieriacutea Social
Coacutemo puedo saber si estoy siendo viacutectima de un ingeniero social Muy simple cuando alguien nos pide alguacuten tipo de informacioacuten privilegiada y esta persona es insistente cuando le requerimos seguir un protocolo para validar su intencioacuten es altamente probable que estemos siendo viacutectimas de un intento de robo de informacioacuten por un ingeniero socialhacker
Coacutemo puedo evitarlo Sencillo si no confiamos en la persona que nos solicita los datos (supongamos un teacutecnico de soporte de nuestro lugar de trabajo) podemos pedirle que nos deje sus datos y comunicarnos con el 10 minutos despueacutes de validar que la peticioacuten es legiacutetima es decir soacutelo sigamos los protocolos que existen en el trabajo y crear los propios en casa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 82
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra los Sistemas que Utilizan Tecnologiacuteas de Informacioacuten
bull Artiacuteculo 6 Acceso indebido
bull Artiacuteculo 7 Sabotaje o dantildeo a sistemas
bull Artiacuteculo 8 Favorecimiento culposo del sabotaje o dantildeo
bull Artiacuteculo 9 Acceso indebido o sabotaje a sistemas protegidos
bull Artiacuteculo 10 Posesioacuten de equipos o prestacioacuten de servicios de sabotaje
bull Artiacuteculo 11 Espionaje informaacutetico
bull Artiacuteculo 12 Falsificacioacuten de documentos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 83
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Propiedad
bull Artiacuteculo 13 Hurto
bull Artiacuteculo 14 Fraude
bull Artiacuteculo 15 Obtencioacuten indebida de bienes o servicios
bull Artiacuteculo 16 Manejo fraudulento de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 17 Apropiacioacuten de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 18 Provisioacuten indebida de bienes o servicios
bull Artiacuteculo 19 Posesioacuten de equipo para falsificaciones
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 84
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Privacidad de las Personas y de las Comunicaciones
bullArtiacuteculo 20 Violacioacuten de la privacidad de la data o informacioacuten de caraacutecter personal
bullArtiacuteculo 21 Violacioacuten de la privacidad de las comunicaciones
bullArtiacuteculo 22 Revelacioacuten indebida de data o informacioacuten de caraacutecter personal
De los Delitos Contra Nintildeos Nintildeas o Adolescentes
bullArtiacuteculo 23 Difusioacuten o exhibicioacuten de material pornograacutefico
bullArtiacuteculo 24 Exhibicioacuten pornograacutefica de nintildeos o adolescentes
De los Delitos Contra el Orden Econoacutemico
bullArtiacuteculo 25 Apropiacioacuten de propiedad intelectual
bullArtiacuteculo 26 Oferta engantildeosa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 85
Plan de Contingencia Continuidad Operacional
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 86
Plan de Contingencia
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 87
ldquoConjunto de Normas y Procedimientos documentadosy comunicados que tienen por objetivo minimizar los riesgos informaacuteticos mas probablesrdquo
InvolucrabullUso de herramientas
bullCumplimiento de Tareas por
parte de personas
Plan de Contingencia
Consta de tres subplanes independientes
bull Plan de Respaldo crear y conservar en un lugar seguro copias de seguridad de la informacioacuten
bull Pla de Emergencia queacute medidas tomar cuando se estaacute materializando una amenaza o cuando acaba de producirse
bull Plan de Recuperacioacuten medidas que se aplicaran cuando se ha producido un desastre El objetivo es evaluar el impacto y regresar lo antes posible
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 88
Plan de Contingencia
En la elaboracioacuten de este plan no se puede dejar por fuera a los miembros de la organizacioacuten el cual debe estar informado y entrenado para actuar en las funciones que le hayan sido encomendadas en caso de producirse una amenaza o impacto
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 89
Continuidad Operacional
Business Continuity Planning (Plan de Continuidad de negocios)
bull Plan Baacutesico
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Coldsite)
bull Plan Intermedio
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan Alto
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan de respuesta y continuidad de negocios alternativo (sin asistencia de sistemas)
bull Stress Testing al Plan
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 90
El Stress Testing
bull Poner a prueba el planbull Revise y evalueacute
bull Respaldosbull Oportunidad integridad y funcionalidadbull Custodia y transporte
bull Cold y Hotsitebull Funcionalidad accesibilidad y compatibilidadbull Actualizacioacuten oportuna (hotsite)
bull Personalbull Roles y funcionesbull Accesibilidad (contactos y comunicaciones)
bull Simulacioacuten de cataacutestrofesbull Sin previo aviso el director encargado del BCP se presenta en el centro de computo
cronometro en mano y baja la cuchilla de electricidad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 91
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de Lehman Brothers
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el WorldTrade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehman se desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del World Trade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehman teniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 92
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de LehmanBrothers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 93
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el World Trade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehmanse desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 94
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del WorldTrade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehmanteniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 95
La Contingencia Manual la Uacuteltima Frontera
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 96
05062015 97
DATOS BAacuteSICOS
Responsable A Nivel Corporativo Responsable(s) A Nivel Regional
PROVEEDOR (ES)
Origen Responsable Insumo (s)
RESULTADOS
Normas y Procedimientos Asociados Fecha uacuteltima revisioacuten Sistemas Aplicaciones Asociadas
Proceso
CALIFICACIOacuteN DE CONTROLES DE ENTRADA
Actividad
RECOMENDACIONES
Procesamiento
Automaacutetico (A)Manual (M)
Frecuencia
Adiestramiento Proceso Sistema N y P Otros
Negocio Area Localidad
Responsable
Nombre CargoNombre Cargo
NOMBRE
ELABORADO POR
CARGO FIRMA
Calidad de Data (B) Buena (R) Regular (M) Mala Oportunidad (AT) A Tiempo (R) Retrasada Revisioacuten Aprobacioacuten (S) Si (N) NoLEYENDA
Calificacioacuten (F) Fuerte (M) Medio (B) Bajo
DescripcioacutenResponsableDescripcioacuten
Tarea
Descripcioacuten
FRECUENCIA DE LA TAREA Diaria (D) Semanal (S) Mensual (M) Trimestral (T) Anual (A) Ocasional (O)
Soportes Recepcioacuten (P) Papel (E) Electroacutenico Archivo (S) Si (N) No Soportes Enviacuteo (S) Si (N) No Backup (S) Si (N) No
Producto (s) Cliente ReceptorControl
de salida
SoportesFrecuencia
Recepcioacuten Backup
DOCUMENTOS SISTEMAS ASOCIADOS A LOS CONTROLES
CALIFICACIOacuteN DE CONTROLES (por parte del Cliente Receptor)
Revisioacuten
Aprobacioacuten
Revisioacuten
AprobacioacutenTipo de control
Procesamiento
Automaacutetico (A)Manual (M)
Control
De EntradaTipo de control
Soportes
Recepcioacuten Archivo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 98
DATOS BAacuteSICOS
TareaActividad
Proceso Responsable del Proceso
Fecha de Elaboracioacuten 2015
Accioacuten (es) Responsable (s)
OBSERVACIONES ELABORADO POR
FIRMA
NOMBRE
Plan de recuperacioacuten y Reactivacioacuten de Finanzas
Recomendaciones Acciones
La Cadena de Valor de una Organizacioacuten de Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 99
ASESORAR EN CONTROLES DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR DELEGACIONES FINANCIERAS
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
CONTROLAR SEGURIDAD SISTEMA
OPERACIONALES ADMINISTRATIVOS Y OTROS
SISTEMAS FINANCIEROS
DESARROLLAR CONTROLES
DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR Y DESARROLLAR PLAN INTEGRAL DE CONTROL ( PIC )
Asesorar en controles de procesos normas y
Procedimientos
Administrar delegaciones financieras
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
Controlar seguridad sistema
operacionales administrativos y otros
sistemas financieros
Desarrollar
controles de
procesos
normas y
procedimientos
Administrar y desarrollar plan integral de control ( PIC )
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 27
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
DE ATAQUES INTERNOS PARA DANtildeAR DATOS O SISTEMAS FRAUDES ERRORES EN EL MANEJO DE
SISTEMAS
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 28
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 29
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 30
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 31
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Seguridad Informaacutetica a Nivel de Usuarios
bull Los usuarios se acostumbran a usar la tecnologiacutea sin saber como funciona o de los riesgos que pueden correr
bull Son el punto de entrada de muchos de los problemas croacutenicos
bull Son ldquoEl eslaboacuten maacutes deacutebilrdquo en la cadena de seguridad
Usuarios comunes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 32
Seguridad Informaacutetica a Nivel de Usuarios
bull Principio del MENOR PRIVILEGIO POSIBLE
bull EDUCAR AL USUARIO
Dos enfoques para
controlarlos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 33
Seguridad Informaacutetica a Nivel de Usuarios
Principio del MENOR PRIVILEGIO POSIBLE Implica seguridad de
acceso al sistema (usuario password perfiles de usuario de
manera transaccional ndash seguridad por posicioacuten workflow)
bull Reducir la capacidad de accioacuten del usuario sobre los sistemas
bull Objetivo Lograr el menor dantildeo posible en caso de incidentes
Administracioacuten de privilegios
bull Usuarios uacutenicos e intransferibles
bull Procesos de desactivacioacuten de cuentas y activacioacuten del reemplazo (en periacuteodos vacacionales y de reposos)
bull Administracioacuten de claves de acceso
bull Alfanumeacutericas + caracteres especiales + mayuacutesculas minuacutesculas
bull Caducidad
bull Bloqueo por intentos fallidos
bull Prohibicioacuten de palabras y datos de uso comuacuten o asociadas al usuario
bull Reseteo de clave de forma automaacutetica con preguntas de desafiacuteo (pe usando datos encriptados que solo el usuario conoce como fecha de ingreso a la empresa)
bull Perfil de usuario
bull De acuerdo a la actividad y delegacioacuten de autoridad de acuerdo a su posicioacuten y responsabilidades
bull Esquemas de proteccioacuten de datos e informacioacuten (Privado Confidencial y Estrictamente Privado y Confidencial) seguacuten la posicioacuten y actividades (previendo delincuencia comuacuten o DDOO)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 34
Seguridad Informaacutetica a Nivel de Usuarios
EDUCAR AL USUARIO
bull Documentar y publicar todas las normas y procedimientos asociados
bull Generar una cultura de seguridad El usuario ayuda a reforzar y aplicar los mecanismos de seguridad
bull Objetivo Reducir el nuacutemero de incidentes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 35
Adicionales a los que ya
se mostroacute para
usuarios comunes se
debe
bull Seguridad de acceso a las instalaciones (aacuterea de desarrollo y aacuterea de servidores o main frame)
bull Poliacutetica de respaldo de informacioacuten y programas que incluyan backups in situ outside a modo copia espejo e incremental (solo variaciones)
bull Poliacuteticas de sustraccioacuten de datos incluyendo el uso de CDROM y Pendrivers (Wikiliks)
bull Crear ambientes de desarrollo de software aislados de los ambientes de produccioacuten (operaciones de la empresa) y de prueba Crear ambientes de prueba con participacioacuten funcional
bull Crear protocolos de procesos de cambio (implantacioacuten de sistemas actualizacioacuten de software incluidos los sistemas operativos) que incluyan respaldo total de programas y datos a modo espejo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 36
Seguridad Informaacutetica a Nivel de Usuarios
Vulnerabilidad
bull En un sistema informaacutetico lo que queremos proteger son sus activos es decir los recursos que forman parte del sistema y que podemos agrupar enbull - Hardware - Software
bull - Datos - Otros
bull Los mas criacuteticos son los datos el hardware y el software Es decir los datos que estaacuten almacenados en el hardware y que son procesados por las aplicaciones software
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 37
Vulnerabilidad
bull Es la debilidad de cualquier tipo que compromete la seguridad del sistema informaacutetico
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 38
Disentildeobull Debilidad en el disentildeo de protocolos utilizados en las redes
bull Poliacuteticas de seguridad deficientes e inexistentes
Implementacioacuten
bull Errores de programacioacuten
bull Existencia de ldquopuertas traserasrdquo en los sistemas informaacuteticos
bull Descuido de los fabricantes
Uso
bull Mala configuracioacuten de los sistemas informaacuteticos
bull Desconocimiento y falta de sensibilizacioacuten de los usuarios y de los responsables de informaacutetica
bull Disponibilidad de herramientas que facilitan los ataques
bull Limitacioacuten gubernamental de tecnologiacuteas de seguridad
Vulnerabilidades conocidas
bull Firewall
bull Antivirus
bull Malware
bull Antispy
bull Protocolos de encriptacioacuten
bull Firmas digitales
bull Monitoreo de redes (Comunity Manager)
Consisten en ataques
intercepciones de datos y enviacuteo de
informacioacuten usurpando identidad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 39
Vulnerabilidades
bull Ataques contra el flujo de la informacioacuten FLUJO NORMAL
Los mensajes en una red se enviacutean a partir de un emisor a uno o varios receptores
El atacante es un tercer elemento en la realidad existen millones de elementos atacantesintencionales o accidentales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 40
Emisor Receptor
Atacante
bull INTERRUPCIONbull El mensaje no puede llegar a su destino un recurso del sistema es destruido o
temporalmente inutilizado
bull Este es un ataque contra la Disponibilidad
bull Ejemplos Destruccioacuten de una pieza de hardware cortar los medios de comunicacioacuten o deshabilitar los sistemas de administracioacuten de archivos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 41
Vulnerabilidades
Emisor
Atacante
Receptor
Vulnerabilidades
bull INTERCEPCIONbull Una persona computadora o programa sin autorizacioacuten logra el acceso a un
recurso controlado
bull Es un ataque contra la Confidencialidad
bull Ejemplos Escuchas electroacutenicos copias iliacutecitas de programas o datos escalamiento de privilegios
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 42
Emisor
Atacante
Receptor
Vulnerabilidades
bull MODIFICACIONbull La persona sin autorizacioacuten ademaacutes de lograr el acceso modifica el mensaje
bull Este es un ataque contra la Integridad
bull Ejemplos Alterar la informacioacuten que se transmite desde una base de datos modificar los mensajes entre programas para que se comporten diferente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 43
bull FABRICACIONbull Una persona sin autorizacioacuten inserta objetos falsos en el sistemabull Es un ataque contra la Autenticidadbull Ejemplos Suplantacioacuten de identidades robo de sesiones robo de contrasentildeas
robo de direcciones IP etcbull Es muy difiacutecil estar seguro de quieacuten esta al otro lado de la liacutenea
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 44
Vulnerabilidades
Emisor
Atacante
Receptor
iquestQuienes Atacan los Sistemas
Gobiernos Extranjeros
Espiacuteas industriales o poliacuteticos
Criminales
Empleados descontentos y abusos internos
Adolescentes sin nada que hacer
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 45
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 46
Estado del ataque Ejemplo de Acciones
1-Buacutesqueda de Ingreso Correr un scanner de puertos
2-Penetracioacuten Explorar un sistema sin parches de seguridad
3-Elevacioacuten de Privilegios Lograr cuenta de Administrador
5-Enmascaramiento Borrado de rastros del ingreso y ataque
4-Ataque en si mismo Robo de datos destruccioacuten del sitio web etc
INTRUSO
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 47
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 48
Actuacioacuten del Criminal
bull Se requieren talentos especiales
bull El fraude ha crecido gracias a la aparicioacuten de las computadoras
Mitos
bull Dinero
bull Satisfaccioacuten (egocentrismo)
bull Ideologiacutea
bull Psicosis
Motivaciones personales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 49
bull Ambiente de trabajo
bull Prestaciones
bull Nivel de confianza interpersonal
bull Eacutetica ambiental
bull Nivel de stress
bull AMBIENTE DE CONTROL INTERNO
Motivaciones ambientales
Ethical Hacking
Es una intrusioacuten eacutetica es la aplicacioacuten de herramientas de intrusioacuten penetracioacuten robo personificacioacuten y negacioacuten de servicio llevado a cabo por hackers eacuteticos es decir personas con la experiencia y conocimiento suficiente para llevar a cabo estas pruebas en nombre de la organizacioacuten es decir de manera legal y prevista para determinar el nivel de seguridad de una red de equipos o servicios (incluido el aspecto de ingenieriacutea social)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 50
Ethical Hacking
bull al conocer el nivel de seguridad que se tiene en nuestra organizacioacuten es mucho maacutes sencillo no simple el tomar medidas que puedan subsanar estas deficienciasiquestPor queacute es
Importante
bull No al usar las armas que el enemigo usa es maacutes factible que podamos determinar el nivel de riesgo y por tanto la respuesta que debemos dar ante un ataque vieacutendolo como analogiacutea meacutedica es como cuando nos vacunan pues nos inoculan una versioacuten del virus del cual nos quieren hacer inmunes
iquestNo es contraproducente
bull Al contratar un servicio o realizarlo de manera interna estamos confiando en la eacutetica profesional de quien evaluacutea por lo que siacute siempre llevamos un riesgo pero se establece un contrato de buena fe hacieacutendolo suficientemente fiable (asegurando)iquestEs fiable
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 51
Ejemplos de Criacutemenes Electroacutenicos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 52
Ataque en 1986 de alemanes trabajando para la KGB contra sistemas estrateacutegicos de EEUU (Clifford Stoll Cuckooacutes egg)
El gusano Morris que se propagoacute por internet en 1988
causando un problema de DoS La causa fue la interrupcioacuten
causada por un programa escrito por Robert Tappan Morris
414 Gang enviacutea ataques contra los registros meacutedicos del
hospital para enfermos de caacutencer Sloan-Kettering
Ataques de Kevin Mitnick 1989-1996
Penetracioacuten de la red de Microsoft en octubre de 2000
por un cracker que ganoacute acceso a programas en desarrollo
Esparcimiento del Love Letter difundido por Onel Guzmaacuten en
Filipinas
53
DDoS contra Yahoo Amazon y Zdnet
Muacuteltiples problemas por virus desde
entonces
Target (Robo de informacioacuten de clientes
Identidad y datos financieros)
Juegos del Hambre
Ataque a Sony (Cyberterrorismo) y la
Respuesta con el apagoacuten de internet a
Korea del Norte
Carnabank (Europa oriental europa
occidental EEUU Panamaacute)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
Ejemplos de Criacutemenes Electroacutenicos
Algunas Clases de Ataques
Negacioacuten de Servicio (DoS)
Robo de contrasentildeas
Robo de identidad
Ingenieriacutea social
Defacement
FraudePirateriacutea de
softwareDumpster
divingCoacutedigo
MaliciosoIP spoofing
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 54
Algunas Clases de Ataques
EspionajeDestruccioacuten o alteracioacuten de informacioacuten
Uso de scripts de ataque
desarrolladosPhishing
Ciber -Terrorismo
War DialingWar
DrivingWalkingWar Chalking
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 55
El Caso Carbanak 1MMMUS$
La banda delictiva ciberneacutetica CARBANAK roba mil millones de doacutelares de 100 instituciones financieras en todo el mundo Kaspersky Lab la INTERPOL EUROPOL y autoridades de diferentes paiacuteses han unido sus fuerzas para dejar al descubierto el complot delictivo de un robo ciberneacutetico sin precedentes Hasta mil millones de doacutelares americanos fueron robados en cerca de dos antildeos de instituciones financieras en todo el mundo Los expertos informan que la responsabilidad del robo recae en una banda multinacional de ciberdelincuentesde Rusia Ucrania y otras partes de Europa asiacute como de China
La banda CARBANAK responsable del robo ciberneacutetico utilizoacute teacutecnicas extraiacutedas del arsenal de los ataques selectivos El complot marca el inicio de una nueva etapa en la evolucioacuten de la actividad de delincuencia ciberneacutetica donde usuarios maliciosos roban dinero directamente de los bancos y evitan concentrar sus ataques en los usuarios finales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 56
Comunicado de prensa 160215 - Karpersky
5705062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
MALWARE
El malware es un tipo de software que tiene como objetivo infiltrarse o dantildear un ordenador sistema de informacioacuten sin el consentimiento de su propietario
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 58
POPUP
bull Un pop-up es un tipo de ventana web que aparece delante de la ventana de un navegador al visitar una paacutegina web
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 59
VOLVER
ADWARE
bull Un programa de clase adware es cualquier programa que automaacuteticamente muestra publicidad web al usuario durante su instalacioacuten o durante su uso para generar lucro a sus autores
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 60
SPAM
bull Se llama spam correo basura a los mensajes no solicitados no deseados o de remitente no conocido habitualmente de tipo publicitario generalmente enviados
en grandes cantidades que perjudican al receptor
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 61
Bomba Loacutegica
Son programas informaacuteticos que se instala en un ordenador y permanece oculto hasta cumplirse una o maacutes condiciones preprogramadas para en ese momento ejecutar una accioacuten
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 62
volver
VIRUS DE MACROS
bull Es una secuencia de oacuterdenes de teclado y ratoacuten asignadas a una sola tecla Los virus de macros afectan a archivos y plantillas que los contienen hacieacutendose pasar por una macro y no actuaraacuten hasta que el archivo se abra o utilice
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 63
VOLVER
VIRUS RESIDENTES
bull Se colocan automaacuteticamente en la memoria RAM del ordenador De este modo pueden controlar e interceptar todas las operaciones llevadas a cabo por el sistema operativo infectando todos aquellos ficheros yo programas que sean ejecutados abiertos cerrados renombrados copiados etc
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 64
VIRUS DE ENLACE
bull Modifican las direcciones que permiten a nivel interno acceder a cada uno de los archivos existentes y como consecuencia no es posible localizarlos y trabajar con ellos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 65
VOLVER
VIRUS MUTANTES
bull Son virus que mutan es decir x Debido a estas mutaciones cada generacioacuten de virus es diferente a la versioacuten anterior dificultando asiacute su deteccioacuten y eliminacioacuten
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 66
VIRUS DE BOOT
bull Se activan en el momento en el que se arranca el ordenador desde un disco infectado ya sea desde el disco duro o desde una memoria USB
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 67
VOLVER
VIRUS DE PROGRAMA
bull Comuacutenmente infectan archivos con extensiones EXE COM OVL DRV BIN DLL y SYS
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 68
VOLVER
VIRUS DE SOBREESCRITURA
bull Sobre-escriben en el interior de los archivos atacados haciendo que se pierda el contenido de los mismos
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 69
Ataques de Seguridad
bull Spyware Es un software de computadoraque al instalarse intercepta o toma controlparcial de la interaccioacuten de lacomputadora y el usuario esto sin que elmismo se de cuenta Estos programaspueden recolectar diferentes tipos deinformacioacuten de los usuarios asiacute comoinstalar software adicional sin elconsentimiento de los mismos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 70
71
Herramientas de Seguridad
bull Gusano Es un programa de computadora quepuede replicarse a si mismo utiliza la red paraenviar copias de si mismo a otros nodos y lopuede hacer sin la intervencioacuten del usuario
A diferencia de los ldquovirusrdquo los gusanos nonecesitan estar amarrados a un programa y sufuncioacuten es principalmente dantildear la red (ejdesempentildeo) mientras que los virus dantildeanarchivos en computadoras
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
72
Ataques de Seguridad
bull Caballo de Troya Es una programa que seinstala bajo la creencia de que se estainstalando alguna otra cosa Los troyanosson programas muy utilizados parainstalar programas tipo ldquobackdoorsrdquo quepermiten el acceso no autorizado a lacomputadora atacada un ejemplo deprogramas tipo backdoor son losKeyloogers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
73
Ataques de Seguridad
bull DoS Denial of service- Ataques quehacen indisponible un servicio a losusuarios
bull DDoS Son conocidos como DNSBackbone Distributed Denial ofServices ndash Ataques tienen comoblanco los servidores raiacutez DNS por lotanto afectan uno de los pilares delInternet los nombres de los dominios
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
74
Ataques de Seguridad
bull Footprinting Teacutecnica utilizada para reunir informacioacuten acerca de sistemas computacionales y las entidades a las que pertenece algunos ejemplos son
- Domain queries
- Network queries
- Organizational queries
- TCP scans
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
75
Ataques de Seguridad
bull Fingerprinting Tambieacuten es conocidocomo TCPIP stack fingerprinting y esutilizado para determinar que sistemaoperativo utiliza alguacuten blanco en la redExiste dos tipos de fingerprinting
- Pasivo- Activo
NMAP es una herramienta que utilizafingerprinting activo para mapearpuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
76
Ataques de Seguridad
bull Escaneo de puertos El escaneo depuertos se basa en el FingerprintingActivo es decir transmite y recibesentildeales como ICMP TELNET SNMPdesde un blanco determinado en lared esto con el fin de obtenerinformacioacuten de dicho blanco en estecaso informacioacuten acerca de suspuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
77
Ataques de Seguridad
bull Sniffing Para llevar a cabo el sniffing esnecesario contar con un ldquopacket snifferrdquoque puede ser software instalado en unacomputadora o un dispositivoindependiente (appliance) estedispositivo es utilizado para interceptar yregistrar traacutefico que pasa a traveacutes de unared o de un segmento de la misma(Puede ser de una red ethernet owireless)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
78
Ataques de Seguridad
bull Spoofing Los ataques tipo spoofing sonaquellos en los que una persona oprograma logra hacerse pasar por otrafalsificando informacioacuten o utilizando laingenieriacutea algunos ataques tipo spoofingson los siguientes
- Falsificacioacuten de direccioacuten de email
- Falsificacioacuten de ID de llamadas telefoacutenicas
- Falsificacioacuten de sitios de internet (phishing)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
79
Ataques de Seguridad
bull Phishing Es el uso de teacutecnicas deingenieriacutea social con la finalidad deadquirir de manera fraudulentainformacioacuten confidencial comonombres de usuarios contrasentildeasinformacioacuten de tarjetas de creacutedito
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
80
Ataques de Seguridad
bull Ingenieriacutea Social Se refiere a unacoleccioacuten de teacutecnicas utilizadas paramanipular a las personas para querealicen alguna accioacuten o divulgueninformacioacuten confidencial
Algunos ingenieros sociales notablesson
- Kevin Mitnik
- Frank Abagnale
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
Ingenieriacutea Social
Es el conjunto de meacutetodos y praacutecticas usados para obtener informacioacuten de usuarios legiacutetimos y con la informacioacuten obtenida lograr acceso a sistemas protegidos siendo esta praacutectica de uso comuacuten entre piratas informaacuteticos y delincuentes computacionales
Coacutemo me afecta Al no validar las referencias o no seguir el protocolo de seguridad adecuado para divulgar contrasentildeas o cualquier otra informacioacuten sensible podemos ser coacutemplices de un crimen Meacutexico ha acordado con organismos internacionales la homologacioacuten yo adecuacioacuten de coacutedigos penales para que estos delitos sean perseguidos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 81
Ingenieriacutea Social
Coacutemo puedo saber si estoy siendo viacutectima de un ingeniero social Muy simple cuando alguien nos pide alguacuten tipo de informacioacuten privilegiada y esta persona es insistente cuando le requerimos seguir un protocolo para validar su intencioacuten es altamente probable que estemos siendo viacutectimas de un intento de robo de informacioacuten por un ingeniero socialhacker
Coacutemo puedo evitarlo Sencillo si no confiamos en la persona que nos solicita los datos (supongamos un teacutecnico de soporte de nuestro lugar de trabajo) podemos pedirle que nos deje sus datos y comunicarnos con el 10 minutos despueacutes de validar que la peticioacuten es legiacutetima es decir soacutelo sigamos los protocolos que existen en el trabajo y crear los propios en casa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 82
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra los Sistemas que Utilizan Tecnologiacuteas de Informacioacuten
bull Artiacuteculo 6 Acceso indebido
bull Artiacuteculo 7 Sabotaje o dantildeo a sistemas
bull Artiacuteculo 8 Favorecimiento culposo del sabotaje o dantildeo
bull Artiacuteculo 9 Acceso indebido o sabotaje a sistemas protegidos
bull Artiacuteculo 10 Posesioacuten de equipos o prestacioacuten de servicios de sabotaje
bull Artiacuteculo 11 Espionaje informaacutetico
bull Artiacuteculo 12 Falsificacioacuten de documentos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 83
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Propiedad
bull Artiacuteculo 13 Hurto
bull Artiacuteculo 14 Fraude
bull Artiacuteculo 15 Obtencioacuten indebida de bienes o servicios
bull Artiacuteculo 16 Manejo fraudulento de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 17 Apropiacioacuten de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 18 Provisioacuten indebida de bienes o servicios
bull Artiacuteculo 19 Posesioacuten de equipo para falsificaciones
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 84
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Privacidad de las Personas y de las Comunicaciones
bullArtiacuteculo 20 Violacioacuten de la privacidad de la data o informacioacuten de caraacutecter personal
bullArtiacuteculo 21 Violacioacuten de la privacidad de las comunicaciones
bullArtiacuteculo 22 Revelacioacuten indebida de data o informacioacuten de caraacutecter personal
De los Delitos Contra Nintildeos Nintildeas o Adolescentes
bullArtiacuteculo 23 Difusioacuten o exhibicioacuten de material pornograacutefico
bullArtiacuteculo 24 Exhibicioacuten pornograacutefica de nintildeos o adolescentes
De los Delitos Contra el Orden Econoacutemico
bullArtiacuteculo 25 Apropiacioacuten de propiedad intelectual
bullArtiacuteculo 26 Oferta engantildeosa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 85
Plan de Contingencia Continuidad Operacional
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 86
Plan de Contingencia
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 87
ldquoConjunto de Normas y Procedimientos documentadosy comunicados que tienen por objetivo minimizar los riesgos informaacuteticos mas probablesrdquo
InvolucrabullUso de herramientas
bullCumplimiento de Tareas por
parte de personas
Plan de Contingencia
Consta de tres subplanes independientes
bull Plan de Respaldo crear y conservar en un lugar seguro copias de seguridad de la informacioacuten
bull Pla de Emergencia queacute medidas tomar cuando se estaacute materializando una amenaza o cuando acaba de producirse
bull Plan de Recuperacioacuten medidas que se aplicaran cuando se ha producido un desastre El objetivo es evaluar el impacto y regresar lo antes posible
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 88
Plan de Contingencia
En la elaboracioacuten de este plan no se puede dejar por fuera a los miembros de la organizacioacuten el cual debe estar informado y entrenado para actuar en las funciones que le hayan sido encomendadas en caso de producirse una amenaza o impacto
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 89
Continuidad Operacional
Business Continuity Planning (Plan de Continuidad de negocios)
bull Plan Baacutesico
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Coldsite)
bull Plan Intermedio
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan Alto
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan de respuesta y continuidad de negocios alternativo (sin asistencia de sistemas)
bull Stress Testing al Plan
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 90
El Stress Testing
bull Poner a prueba el planbull Revise y evalueacute
bull Respaldosbull Oportunidad integridad y funcionalidadbull Custodia y transporte
bull Cold y Hotsitebull Funcionalidad accesibilidad y compatibilidadbull Actualizacioacuten oportuna (hotsite)
bull Personalbull Roles y funcionesbull Accesibilidad (contactos y comunicaciones)
bull Simulacioacuten de cataacutestrofesbull Sin previo aviso el director encargado del BCP se presenta en el centro de computo
cronometro en mano y baja la cuchilla de electricidad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 91
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de Lehman Brothers
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el WorldTrade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehman se desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del World Trade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehman teniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 92
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de LehmanBrothers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 93
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el World Trade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehmanse desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 94
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del WorldTrade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehmanteniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 95
La Contingencia Manual la Uacuteltima Frontera
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 96
05062015 97
DATOS BAacuteSICOS
Responsable A Nivel Corporativo Responsable(s) A Nivel Regional
PROVEEDOR (ES)
Origen Responsable Insumo (s)
RESULTADOS
Normas y Procedimientos Asociados Fecha uacuteltima revisioacuten Sistemas Aplicaciones Asociadas
Proceso
CALIFICACIOacuteN DE CONTROLES DE ENTRADA
Actividad
RECOMENDACIONES
Procesamiento
Automaacutetico (A)Manual (M)
Frecuencia
Adiestramiento Proceso Sistema N y P Otros
Negocio Area Localidad
Responsable
Nombre CargoNombre Cargo
NOMBRE
ELABORADO POR
CARGO FIRMA
Calidad de Data (B) Buena (R) Regular (M) Mala Oportunidad (AT) A Tiempo (R) Retrasada Revisioacuten Aprobacioacuten (S) Si (N) NoLEYENDA
Calificacioacuten (F) Fuerte (M) Medio (B) Bajo
DescripcioacutenResponsableDescripcioacuten
Tarea
Descripcioacuten
FRECUENCIA DE LA TAREA Diaria (D) Semanal (S) Mensual (M) Trimestral (T) Anual (A) Ocasional (O)
Soportes Recepcioacuten (P) Papel (E) Electroacutenico Archivo (S) Si (N) No Soportes Enviacuteo (S) Si (N) No Backup (S) Si (N) No
Producto (s) Cliente ReceptorControl
de salida
SoportesFrecuencia
Recepcioacuten Backup
DOCUMENTOS SISTEMAS ASOCIADOS A LOS CONTROLES
CALIFICACIOacuteN DE CONTROLES (por parte del Cliente Receptor)
Revisioacuten
Aprobacioacuten
Revisioacuten
AprobacioacutenTipo de control
Procesamiento
Automaacutetico (A)Manual (M)
Control
De EntradaTipo de control
Soportes
Recepcioacuten Archivo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 98
DATOS BAacuteSICOS
TareaActividad
Proceso Responsable del Proceso
Fecha de Elaboracioacuten 2015
Accioacuten (es) Responsable (s)
OBSERVACIONES ELABORADO POR
FIRMA
NOMBRE
Plan de recuperacioacuten y Reactivacioacuten de Finanzas
Recomendaciones Acciones
La Cadena de Valor de una Organizacioacuten de Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 99
ASESORAR EN CONTROLES DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR DELEGACIONES FINANCIERAS
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
CONTROLAR SEGURIDAD SISTEMA
OPERACIONALES ADMINISTRATIVOS Y OTROS
SISTEMAS FINANCIEROS
DESARROLLAR CONTROLES
DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR Y DESARROLLAR PLAN INTEGRAL DE CONTROL ( PIC )
Asesorar en controles de procesos normas y
Procedimientos
Administrar delegaciones financieras
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
Controlar seguridad sistema
operacionales administrativos y otros
sistemas financieros
Desarrollar
controles de
procesos
normas y
procedimientos
Administrar y desarrollar plan integral de control ( PIC )
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 28
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 29
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 30
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 31
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Seguridad Informaacutetica a Nivel de Usuarios
bull Los usuarios se acostumbran a usar la tecnologiacutea sin saber como funciona o de los riesgos que pueden correr
bull Son el punto de entrada de muchos de los problemas croacutenicos
bull Son ldquoEl eslaboacuten maacutes deacutebilrdquo en la cadena de seguridad
Usuarios comunes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 32
Seguridad Informaacutetica a Nivel de Usuarios
bull Principio del MENOR PRIVILEGIO POSIBLE
bull EDUCAR AL USUARIO
Dos enfoques para
controlarlos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 33
Seguridad Informaacutetica a Nivel de Usuarios
Principio del MENOR PRIVILEGIO POSIBLE Implica seguridad de
acceso al sistema (usuario password perfiles de usuario de
manera transaccional ndash seguridad por posicioacuten workflow)
bull Reducir la capacidad de accioacuten del usuario sobre los sistemas
bull Objetivo Lograr el menor dantildeo posible en caso de incidentes
Administracioacuten de privilegios
bull Usuarios uacutenicos e intransferibles
bull Procesos de desactivacioacuten de cuentas y activacioacuten del reemplazo (en periacuteodos vacacionales y de reposos)
bull Administracioacuten de claves de acceso
bull Alfanumeacutericas + caracteres especiales + mayuacutesculas minuacutesculas
bull Caducidad
bull Bloqueo por intentos fallidos
bull Prohibicioacuten de palabras y datos de uso comuacuten o asociadas al usuario
bull Reseteo de clave de forma automaacutetica con preguntas de desafiacuteo (pe usando datos encriptados que solo el usuario conoce como fecha de ingreso a la empresa)
bull Perfil de usuario
bull De acuerdo a la actividad y delegacioacuten de autoridad de acuerdo a su posicioacuten y responsabilidades
bull Esquemas de proteccioacuten de datos e informacioacuten (Privado Confidencial y Estrictamente Privado y Confidencial) seguacuten la posicioacuten y actividades (previendo delincuencia comuacuten o DDOO)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 34
Seguridad Informaacutetica a Nivel de Usuarios
EDUCAR AL USUARIO
bull Documentar y publicar todas las normas y procedimientos asociados
bull Generar una cultura de seguridad El usuario ayuda a reforzar y aplicar los mecanismos de seguridad
bull Objetivo Reducir el nuacutemero de incidentes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 35
Adicionales a los que ya
se mostroacute para
usuarios comunes se
debe
bull Seguridad de acceso a las instalaciones (aacuterea de desarrollo y aacuterea de servidores o main frame)
bull Poliacutetica de respaldo de informacioacuten y programas que incluyan backups in situ outside a modo copia espejo e incremental (solo variaciones)
bull Poliacuteticas de sustraccioacuten de datos incluyendo el uso de CDROM y Pendrivers (Wikiliks)
bull Crear ambientes de desarrollo de software aislados de los ambientes de produccioacuten (operaciones de la empresa) y de prueba Crear ambientes de prueba con participacioacuten funcional
bull Crear protocolos de procesos de cambio (implantacioacuten de sistemas actualizacioacuten de software incluidos los sistemas operativos) que incluyan respaldo total de programas y datos a modo espejo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 36
Seguridad Informaacutetica a Nivel de Usuarios
Vulnerabilidad
bull En un sistema informaacutetico lo que queremos proteger son sus activos es decir los recursos que forman parte del sistema y que podemos agrupar enbull - Hardware - Software
bull - Datos - Otros
bull Los mas criacuteticos son los datos el hardware y el software Es decir los datos que estaacuten almacenados en el hardware y que son procesados por las aplicaciones software
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 37
Vulnerabilidad
bull Es la debilidad de cualquier tipo que compromete la seguridad del sistema informaacutetico
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 38
Disentildeobull Debilidad en el disentildeo de protocolos utilizados en las redes
bull Poliacuteticas de seguridad deficientes e inexistentes
Implementacioacuten
bull Errores de programacioacuten
bull Existencia de ldquopuertas traserasrdquo en los sistemas informaacuteticos
bull Descuido de los fabricantes
Uso
bull Mala configuracioacuten de los sistemas informaacuteticos
bull Desconocimiento y falta de sensibilizacioacuten de los usuarios y de los responsables de informaacutetica
bull Disponibilidad de herramientas que facilitan los ataques
bull Limitacioacuten gubernamental de tecnologiacuteas de seguridad
Vulnerabilidades conocidas
bull Firewall
bull Antivirus
bull Malware
bull Antispy
bull Protocolos de encriptacioacuten
bull Firmas digitales
bull Monitoreo de redes (Comunity Manager)
Consisten en ataques
intercepciones de datos y enviacuteo de
informacioacuten usurpando identidad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 39
Vulnerabilidades
bull Ataques contra el flujo de la informacioacuten FLUJO NORMAL
Los mensajes en una red se enviacutean a partir de un emisor a uno o varios receptores
El atacante es un tercer elemento en la realidad existen millones de elementos atacantesintencionales o accidentales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 40
Emisor Receptor
Atacante
bull INTERRUPCIONbull El mensaje no puede llegar a su destino un recurso del sistema es destruido o
temporalmente inutilizado
bull Este es un ataque contra la Disponibilidad
bull Ejemplos Destruccioacuten de una pieza de hardware cortar los medios de comunicacioacuten o deshabilitar los sistemas de administracioacuten de archivos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 41
Vulnerabilidades
Emisor
Atacante
Receptor
Vulnerabilidades
bull INTERCEPCIONbull Una persona computadora o programa sin autorizacioacuten logra el acceso a un
recurso controlado
bull Es un ataque contra la Confidencialidad
bull Ejemplos Escuchas electroacutenicos copias iliacutecitas de programas o datos escalamiento de privilegios
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 42
Emisor
Atacante
Receptor
Vulnerabilidades
bull MODIFICACIONbull La persona sin autorizacioacuten ademaacutes de lograr el acceso modifica el mensaje
bull Este es un ataque contra la Integridad
bull Ejemplos Alterar la informacioacuten que se transmite desde una base de datos modificar los mensajes entre programas para que se comporten diferente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 43
bull FABRICACIONbull Una persona sin autorizacioacuten inserta objetos falsos en el sistemabull Es un ataque contra la Autenticidadbull Ejemplos Suplantacioacuten de identidades robo de sesiones robo de contrasentildeas
robo de direcciones IP etcbull Es muy difiacutecil estar seguro de quieacuten esta al otro lado de la liacutenea
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 44
Vulnerabilidades
Emisor
Atacante
Receptor
iquestQuienes Atacan los Sistemas
Gobiernos Extranjeros
Espiacuteas industriales o poliacuteticos
Criminales
Empleados descontentos y abusos internos
Adolescentes sin nada que hacer
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 45
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 46
Estado del ataque Ejemplo de Acciones
1-Buacutesqueda de Ingreso Correr un scanner de puertos
2-Penetracioacuten Explorar un sistema sin parches de seguridad
3-Elevacioacuten de Privilegios Lograr cuenta de Administrador
5-Enmascaramiento Borrado de rastros del ingreso y ataque
4-Ataque en si mismo Robo de datos destruccioacuten del sitio web etc
INTRUSO
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 47
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 48
Actuacioacuten del Criminal
bull Se requieren talentos especiales
bull El fraude ha crecido gracias a la aparicioacuten de las computadoras
Mitos
bull Dinero
bull Satisfaccioacuten (egocentrismo)
bull Ideologiacutea
bull Psicosis
Motivaciones personales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 49
bull Ambiente de trabajo
bull Prestaciones
bull Nivel de confianza interpersonal
bull Eacutetica ambiental
bull Nivel de stress
bull AMBIENTE DE CONTROL INTERNO
Motivaciones ambientales
Ethical Hacking
Es una intrusioacuten eacutetica es la aplicacioacuten de herramientas de intrusioacuten penetracioacuten robo personificacioacuten y negacioacuten de servicio llevado a cabo por hackers eacuteticos es decir personas con la experiencia y conocimiento suficiente para llevar a cabo estas pruebas en nombre de la organizacioacuten es decir de manera legal y prevista para determinar el nivel de seguridad de una red de equipos o servicios (incluido el aspecto de ingenieriacutea social)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 50
Ethical Hacking
bull al conocer el nivel de seguridad que se tiene en nuestra organizacioacuten es mucho maacutes sencillo no simple el tomar medidas que puedan subsanar estas deficienciasiquestPor queacute es
Importante
bull No al usar las armas que el enemigo usa es maacutes factible que podamos determinar el nivel de riesgo y por tanto la respuesta que debemos dar ante un ataque vieacutendolo como analogiacutea meacutedica es como cuando nos vacunan pues nos inoculan una versioacuten del virus del cual nos quieren hacer inmunes
iquestNo es contraproducente
bull Al contratar un servicio o realizarlo de manera interna estamos confiando en la eacutetica profesional de quien evaluacutea por lo que siacute siempre llevamos un riesgo pero se establece un contrato de buena fe hacieacutendolo suficientemente fiable (asegurando)iquestEs fiable
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 51
Ejemplos de Criacutemenes Electroacutenicos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 52
Ataque en 1986 de alemanes trabajando para la KGB contra sistemas estrateacutegicos de EEUU (Clifford Stoll Cuckooacutes egg)
El gusano Morris que se propagoacute por internet en 1988
causando un problema de DoS La causa fue la interrupcioacuten
causada por un programa escrito por Robert Tappan Morris
414 Gang enviacutea ataques contra los registros meacutedicos del
hospital para enfermos de caacutencer Sloan-Kettering
Ataques de Kevin Mitnick 1989-1996
Penetracioacuten de la red de Microsoft en octubre de 2000
por un cracker que ganoacute acceso a programas en desarrollo
Esparcimiento del Love Letter difundido por Onel Guzmaacuten en
Filipinas
53
DDoS contra Yahoo Amazon y Zdnet
Muacuteltiples problemas por virus desde
entonces
Target (Robo de informacioacuten de clientes
Identidad y datos financieros)
Juegos del Hambre
Ataque a Sony (Cyberterrorismo) y la
Respuesta con el apagoacuten de internet a
Korea del Norte
Carnabank (Europa oriental europa
occidental EEUU Panamaacute)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
Ejemplos de Criacutemenes Electroacutenicos
Algunas Clases de Ataques
Negacioacuten de Servicio (DoS)
Robo de contrasentildeas
Robo de identidad
Ingenieriacutea social
Defacement
FraudePirateriacutea de
softwareDumpster
divingCoacutedigo
MaliciosoIP spoofing
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 54
Algunas Clases de Ataques
EspionajeDestruccioacuten o alteracioacuten de informacioacuten
Uso de scripts de ataque
desarrolladosPhishing
Ciber -Terrorismo
War DialingWar
DrivingWalkingWar Chalking
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 55
El Caso Carbanak 1MMMUS$
La banda delictiva ciberneacutetica CARBANAK roba mil millones de doacutelares de 100 instituciones financieras en todo el mundo Kaspersky Lab la INTERPOL EUROPOL y autoridades de diferentes paiacuteses han unido sus fuerzas para dejar al descubierto el complot delictivo de un robo ciberneacutetico sin precedentes Hasta mil millones de doacutelares americanos fueron robados en cerca de dos antildeos de instituciones financieras en todo el mundo Los expertos informan que la responsabilidad del robo recae en una banda multinacional de ciberdelincuentesde Rusia Ucrania y otras partes de Europa asiacute como de China
La banda CARBANAK responsable del robo ciberneacutetico utilizoacute teacutecnicas extraiacutedas del arsenal de los ataques selectivos El complot marca el inicio de una nueva etapa en la evolucioacuten de la actividad de delincuencia ciberneacutetica donde usuarios maliciosos roban dinero directamente de los bancos y evitan concentrar sus ataques en los usuarios finales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 56
Comunicado de prensa 160215 - Karpersky
5705062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
MALWARE
El malware es un tipo de software que tiene como objetivo infiltrarse o dantildear un ordenador sistema de informacioacuten sin el consentimiento de su propietario
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 58
POPUP
bull Un pop-up es un tipo de ventana web que aparece delante de la ventana de un navegador al visitar una paacutegina web
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 59
VOLVER
ADWARE
bull Un programa de clase adware es cualquier programa que automaacuteticamente muestra publicidad web al usuario durante su instalacioacuten o durante su uso para generar lucro a sus autores
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 60
SPAM
bull Se llama spam correo basura a los mensajes no solicitados no deseados o de remitente no conocido habitualmente de tipo publicitario generalmente enviados
en grandes cantidades que perjudican al receptor
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 61
Bomba Loacutegica
Son programas informaacuteticos que se instala en un ordenador y permanece oculto hasta cumplirse una o maacutes condiciones preprogramadas para en ese momento ejecutar una accioacuten
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 62
volver
VIRUS DE MACROS
bull Es una secuencia de oacuterdenes de teclado y ratoacuten asignadas a una sola tecla Los virus de macros afectan a archivos y plantillas que los contienen hacieacutendose pasar por una macro y no actuaraacuten hasta que el archivo se abra o utilice
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 63
VOLVER
VIRUS RESIDENTES
bull Se colocan automaacuteticamente en la memoria RAM del ordenador De este modo pueden controlar e interceptar todas las operaciones llevadas a cabo por el sistema operativo infectando todos aquellos ficheros yo programas que sean ejecutados abiertos cerrados renombrados copiados etc
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 64
VIRUS DE ENLACE
bull Modifican las direcciones que permiten a nivel interno acceder a cada uno de los archivos existentes y como consecuencia no es posible localizarlos y trabajar con ellos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 65
VOLVER
VIRUS MUTANTES
bull Son virus que mutan es decir x Debido a estas mutaciones cada generacioacuten de virus es diferente a la versioacuten anterior dificultando asiacute su deteccioacuten y eliminacioacuten
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 66
VIRUS DE BOOT
bull Se activan en el momento en el que se arranca el ordenador desde un disco infectado ya sea desde el disco duro o desde una memoria USB
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 67
VOLVER
VIRUS DE PROGRAMA
bull Comuacutenmente infectan archivos con extensiones EXE COM OVL DRV BIN DLL y SYS
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 68
VOLVER
VIRUS DE SOBREESCRITURA
bull Sobre-escriben en el interior de los archivos atacados haciendo que se pierda el contenido de los mismos
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 69
Ataques de Seguridad
bull Spyware Es un software de computadoraque al instalarse intercepta o toma controlparcial de la interaccioacuten de lacomputadora y el usuario esto sin que elmismo se de cuenta Estos programaspueden recolectar diferentes tipos deinformacioacuten de los usuarios asiacute comoinstalar software adicional sin elconsentimiento de los mismos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 70
71
Herramientas de Seguridad
bull Gusano Es un programa de computadora quepuede replicarse a si mismo utiliza la red paraenviar copias de si mismo a otros nodos y lopuede hacer sin la intervencioacuten del usuario
A diferencia de los ldquovirusrdquo los gusanos nonecesitan estar amarrados a un programa y sufuncioacuten es principalmente dantildear la red (ejdesempentildeo) mientras que los virus dantildeanarchivos en computadoras
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
72
Ataques de Seguridad
bull Caballo de Troya Es una programa que seinstala bajo la creencia de que se estainstalando alguna otra cosa Los troyanosson programas muy utilizados parainstalar programas tipo ldquobackdoorsrdquo quepermiten el acceso no autorizado a lacomputadora atacada un ejemplo deprogramas tipo backdoor son losKeyloogers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
73
Ataques de Seguridad
bull DoS Denial of service- Ataques quehacen indisponible un servicio a losusuarios
bull DDoS Son conocidos como DNSBackbone Distributed Denial ofServices ndash Ataques tienen comoblanco los servidores raiacutez DNS por lotanto afectan uno de los pilares delInternet los nombres de los dominios
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
74
Ataques de Seguridad
bull Footprinting Teacutecnica utilizada para reunir informacioacuten acerca de sistemas computacionales y las entidades a las que pertenece algunos ejemplos son
- Domain queries
- Network queries
- Organizational queries
- TCP scans
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
75
Ataques de Seguridad
bull Fingerprinting Tambieacuten es conocidocomo TCPIP stack fingerprinting y esutilizado para determinar que sistemaoperativo utiliza alguacuten blanco en la redExiste dos tipos de fingerprinting
- Pasivo- Activo
NMAP es una herramienta que utilizafingerprinting activo para mapearpuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
76
Ataques de Seguridad
bull Escaneo de puertos El escaneo depuertos se basa en el FingerprintingActivo es decir transmite y recibesentildeales como ICMP TELNET SNMPdesde un blanco determinado en lared esto con el fin de obtenerinformacioacuten de dicho blanco en estecaso informacioacuten acerca de suspuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
77
Ataques de Seguridad
bull Sniffing Para llevar a cabo el sniffing esnecesario contar con un ldquopacket snifferrdquoque puede ser software instalado en unacomputadora o un dispositivoindependiente (appliance) estedispositivo es utilizado para interceptar yregistrar traacutefico que pasa a traveacutes de unared o de un segmento de la misma(Puede ser de una red ethernet owireless)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
78
Ataques de Seguridad
bull Spoofing Los ataques tipo spoofing sonaquellos en los que una persona oprograma logra hacerse pasar por otrafalsificando informacioacuten o utilizando laingenieriacutea algunos ataques tipo spoofingson los siguientes
- Falsificacioacuten de direccioacuten de email
- Falsificacioacuten de ID de llamadas telefoacutenicas
- Falsificacioacuten de sitios de internet (phishing)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
79
Ataques de Seguridad
bull Phishing Es el uso de teacutecnicas deingenieriacutea social con la finalidad deadquirir de manera fraudulentainformacioacuten confidencial comonombres de usuarios contrasentildeasinformacioacuten de tarjetas de creacutedito
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
80
Ataques de Seguridad
bull Ingenieriacutea Social Se refiere a unacoleccioacuten de teacutecnicas utilizadas paramanipular a las personas para querealicen alguna accioacuten o divulgueninformacioacuten confidencial
Algunos ingenieros sociales notablesson
- Kevin Mitnik
- Frank Abagnale
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
Ingenieriacutea Social
Es el conjunto de meacutetodos y praacutecticas usados para obtener informacioacuten de usuarios legiacutetimos y con la informacioacuten obtenida lograr acceso a sistemas protegidos siendo esta praacutectica de uso comuacuten entre piratas informaacuteticos y delincuentes computacionales
Coacutemo me afecta Al no validar las referencias o no seguir el protocolo de seguridad adecuado para divulgar contrasentildeas o cualquier otra informacioacuten sensible podemos ser coacutemplices de un crimen Meacutexico ha acordado con organismos internacionales la homologacioacuten yo adecuacioacuten de coacutedigos penales para que estos delitos sean perseguidos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 81
Ingenieriacutea Social
Coacutemo puedo saber si estoy siendo viacutectima de un ingeniero social Muy simple cuando alguien nos pide alguacuten tipo de informacioacuten privilegiada y esta persona es insistente cuando le requerimos seguir un protocolo para validar su intencioacuten es altamente probable que estemos siendo viacutectimas de un intento de robo de informacioacuten por un ingeniero socialhacker
Coacutemo puedo evitarlo Sencillo si no confiamos en la persona que nos solicita los datos (supongamos un teacutecnico de soporte de nuestro lugar de trabajo) podemos pedirle que nos deje sus datos y comunicarnos con el 10 minutos despueacutes de validar que la peticioacuten es legiacutetima es decir soacutelo sigamos los protocolos que existen en el trabajo y crear los propios en casa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 82
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra los Sistemas que Utilizan Tecnologiacuteas de Informacioacuten
bull Artiacuteculo 6 Acceso indebido
bull Artiacuteculo 7 Sabotaje o dantildeo a sistemas
bull Artiacuteculo 8 Favorecimiento culposo del sabotaje o dantildeo
bull Artiacuteculo 9 Acceso indebido o sabotaje a sistemas protegidos
bull Artiacuteculo 10 Posesioacuten de equipos o prestacioacuten de servicios de sabotaje
bull Artiacuteculo 11 Espionaje informaacutetico
bull Artiacuteculo 12 Falsificacioacuten de documentos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 83
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Propiedad
bull Artiacuteculo 13 Hurto
bull Artiacuteculo 14 Fraude
bull Artiacuteculo 15 Obtencioacuten indebida de bienes o servicios
bull Artiacuteculo 16 Manejo fraudulento de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 17 Apropiacioacuten de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 18 Provisioacuten indebida de bienes o servicios
bull Artiacuteculo 19 Posesioacuten de equipo para falsificaciones
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 84
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Privacidad de las Personas y de las Comunicaciones
bullArtiacuteculo 20 Violacioacuten de la privacidad de la data o informacioacuten de caraacutecter personal
bullArtiacuteculo 21 Violacioacuten de la privacidad de las comunicaciones
bullArtiacuteculo 22 Revelacioacuten indebida de data o informacioacuten de caraacutecter personal
De los Delitos Contra Nintildeos Nintildeas o Adolescentes
bullArtiacuteculo 23 Difusioacuten o exhibicioacuten de material pornograacutefico
bullArtiacuteculo 24 Exhibicioacuten pornograacutefica de nintildeos o adolescentes
De los Delitos Contra el Orden Econoacutemico
bullArtiacuteculo 25 Apropiacioacuten de propiedad intelectual
bullArtiacuteculo 26 Oferta engantildeosa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 85
Plan de Contingencia Continuidad Operacional
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 86
Plan de Contingencia
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 87
ldquoConjunto de Normas y Procedimientos documentadosy comunicados que tienen por objetivo minimizar los riesgos informaacuteticos mas probablesrdquo
InvolucrabullUso de herramientas
bullCumplimiento de Tareas por
parte de personas
Plan de Contingencia
Consta de tres subplanes independientes
bull Plan de Respaldo crear y conservar en un lugar seguro copias de seguridad de la informacioacuten
bull Pla de Emergencia queacute medidas tomar cuando se estaacute materializando una amenaza o cuando acaba de producirse
bull Plan de Recuperacioacuten medidas que se aplicaran cuando se ha producido un desastre El objetivo es evaluar el impacto y regresar lo antes posible
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 88
Plan de Contingencia
En la elaboracioacuten de este plan no se puede dejar por fuera a los miembros de la organizacioacuten el cual debe estar informado y entrenado para actuar en las funciones que le hayan sido encomendadas en caso de producirse una amenaza o impacto
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 89
Continuidad Operacional
Business Continuity Planning (Plan de Continuidad de negocios)
bull Plan Baacutesico
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Coldsite)
bull Plan Intermedio
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan Alto
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan de respuesta y continuidad de negocios alternativo (sin asistencia de sistemas)
bull Stress Testing al Plan
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 90
El Stress Testing
bull Poner a prueba el planbull Revise y evalueacute
bull Respaldosbull Oportunidad integridad y funcionalidadbull Custodia y transporte
bull Cold y Hotsitebull Funcionalidad accesibilidad y compatibilidadbull Actualizacioacuten oportuna (hotsite)
bull Personalbull Roles y funcionesbull Accesibilidad (contactos y comunicaciones)
bull Simulacioacuten de cataacutestrofesbull Sin previo aviso el director encargado del BCP se presenta en el centro de computo
cronometro en mano y baja la cuchilla de electricidad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 91
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de Lehman Brothers
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el WorldTrade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehman se desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del World Trade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehman teniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 92
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de LehmanBrothers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 93
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el World Trade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehmanse desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 94
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del WorldTrade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehmanteniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 95
La Contingencia Manual la Uacuteltima Frontera
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 96
05062015 97
DATOS BAacuteSICOS
Responsable A Nivel Corporativo Responsable(s) A Nivel Regional
PROVEEDOR (ES)
Origen Responsable Insumo (s)
RESULTADOS
Normas y Procedimientos Asociados Fecha uacuteltima revisioacuten Sistemas Aplicaciones Asociadas
Proceso
CALIFICACIOacuteN DE CONTROLES DE ENTRADA
Actividad
RECOMENDACIONES
Procesamiento
Automaacutetico (A)Manual (M)
Frecuencia
Adiestramiento Proceso Sistema N y P Otros
Negocio Area Localidad
Responsable
Nombre CargoNombre Cargo
NOMBRE
ELABORADO POR
CARGO FIRMA
Calidad de Data (B) Buena (R) Regular (M) Mala Oportunidad (AT) A Tiempo (R) Retrasada Revisioacuten Aprobacioacuten (S) Si (N) NoLEYENDA
Calificacioacuten (F) Fuerte (M) Medio (B) Bajo
DescripcioacutenResponsableDescripcioacuten
Tarea
Descripcioacuten
FRECUENCIA DE LA TAREA Diaria (D) Semanal (S) Mensual (M) Trimestral (T) Anual (A) Ocasional (O)
Soportes Recepcioacuten (P) Papel (E) Electroacutenico Archivo (S) Si (N) No Soportes Enviacuteo (S) Si (N) No Backup (S) Si (N) No
Producto (s) Cliente ReceptorControl
de salida
SoportesFrecuencia
Recepcioacuten Backup
DOCUMENTOS SISTEMAS ASOCIADOS A LOS CONTROLES
CALIFICACIOacuteN DE CONTROLES (por parte del Cliente Receptor)
Revisioacuten
Aprobacioacuten
Revisioacuten
AprobacioacutenTipo de control
Procesamiento
Automaacutetico (A)Manual (M)
Control
De EntradaTipo de control
Soportes
Recepcioacuten Archivo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 98
DATOS BAacuteSICOS
TareaActividad
Proceso Responsable del Proceso
Fecha de Elaboracioacuten 2015
Accioacuten (es) Responsable (s)
OBSERVACIONES ELABORADO POR
FIRMA
NOMBRE
Plan de recuperacioacuten y Reactivacioacuten de Finanzas
Recomendaciones Acciones
La Cadena de Valor de una Organizacioacuten de Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 99
ASESORAR EN CONTROLES DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR DELEGACIONES FINANCIERAS
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
CONTROLAR SEGURIDAD SISTEMA
OPERACIONALES ADMINISTRATIVOS Y OTROS
SISTEMAS FINANCIEROS
DESARROLLAR CONTROLES
DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR Y DESARROLLAR PLAN INTEGRAL DE CONTROL ( PIC )
Asesorar en controles de procesos normas y
Procedimientos
Administrar delegaciones financieras
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
Controlar seguridad sistema
operacionales administrativos y otros
sistemas financieros
Desarrollar
controles de
procesos
normas y
procedimientos
Administrar y desarrollar plan integral de control ( PIC )
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 29
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 30
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 31
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Seguridad Informaacutetica a Nivel de Usuarios
bull Los usuarios se acostumbran a usar la tecnologiacutea sin saber como funciona o de los riesgos que pueden correr
bull Son el punto de entrada de muchos de los problemas croacutenicos
bull Son ldquoEl eslaboacuten maacutes deacutebilrdquo en la cadena de seguridad
Usuarios comunes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 32
Seguridad Informaacutetica a Nivel de Usuarios
bull Principio del MENOR PRIVILEGIO POSIBLE
bull EDUCAR AL USUARIO
Dos enfoques para
controlarlos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 33
Seguridad Informaacutetica a Nivel de Usuarios
Principio del MENOR PRIVILEGIO POSIBLE Implica seguridad de
acceso al sistema (usuario password perfiles de usuario de
manera transaccional ndash seguridad por posicioacuten workflow)
bull Reducir la capacidad de accioacuten del usuario sobre los sistemas
bull Objetivo Lograr el menor dantildeo posible en caso de incidentes
Administracioacuten de privilegios
bull Usuarios uacutenicos e intransferibles
bull Procesos de desactivacioacuten de cuentas y activacioacuten del reemplazo (en periacuteodos vacacionales y de reposos)
bull Administracioacuten de claves de acceso
bull Alfanumeacutericas + caracteres especiales + mayuacutesculas minuacutesculas
bull Caducidad
bull Bloqueo por intentos fallidos
bull Prohibicioacuten de palabras y datos de uso comuacuten o asociadas al usuario
bull Reseteo de clave de forma automaacutetica con preguntas de desafiacuteo (pe usando datos encriptados que solo el usuario conoce como fecha de ingreso a la empresa)
bull Perfil de usuario
bull De acuerdo a la actividad y delegacioacuten de autoridad de acuerdo a su posicioacuten y responsabilidades
bull Esquemas de proteccioacuten de datos e informacioacuten (Privado Confidencial y Estrictamente Privado y Confidencial) seguacuten la posicioacuten y actividades (previendo delincuencia comuacuten o DDOO)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 34
Seguridad Informaacutetica a Nivel de Usuarios
EDUCAR AL USUARIO
bull Documentar y publicar todas las normas y procedimientos asociados
bull Generar una cultura de seguridad El usuario ayuda a reforzar y aplicar los mecanismos de seguridad
bull Objetivo Reducir el nuacutemero de incidentes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 35
Adicionales a los que ya
se mostroacute para
usuarios comunes se
debe
bull Seguridad de acceso a las instalaciones (aacuterea de desarrollo y aacuterea de servidores o main frame)
bull Poliacutetica de respaldo de informacioacuten y programas que incluyan backups in situ outside a modo copia espejo e incremental (solo variaciones)
bull Poliacuteticas de sustraccioacuten de datos incluyendo el uso de CDROM y Pendrivers (Wikiliks)
bull Crear ambientes de desarrollo de software aislados de los ambientes de produccioacuten (operaciones de la empresa) y de prueba Crear ambientes de prueba con participacioacuten funcional
bull Crear protocolos de procesos de cambio (implantacioacuten de sistemas actualizacioacuten de software incluidos los sistemas operativos) que incluyan respaldo total de programas y datos a modo espejo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 36
Seguridad Informaacutetica a Nivel de Usuarios
Vulnerabilidad
bull En un sistema informaacutetico lo que queremos proteger son sus activos es decir los recursos que forman parte del sistema y que podemos agrupar enbull - Hardware - Software
bull - Datos - Otros
bull Los mas criacuteticos son los datos el hardware y el software Es decir los datos que estaacuten almacenados en el hardware y que son procesados por las aplicaciones software
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 37
Vulnerabilidad
bull Es la debilidad de cualquier tipo que compromete la seguridad del sistema informaacutetico
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 38
Disentildeobull Debilidad en el disentildeo de protocolos utilizados en las redes
bull Poliacuteticas de seguridad deficientes e inexistentes
Implementacioacuten
bull Errores de programacioacuten
bull Existencia de ldquopuertas traserasrdquo en los sistemas informaacuteticos
bull Descuido de los fabricantes
Uso
bull Mala configuracioacuten de los sistemas informaacuteticos
bull Desconocimiento y falta de sensibilizacioacuten de los usuarios y de los responsables de informaacutetica
bull Disponibilidad de herramientas que facilitan los ataques
bull Limitacioacuten gubernamental de tecnologiacuteas de seguridad
Vulnerabilidades conocidas
bull Firewall
bull Antivirus
bull Malware
bull Antispy
bull Protocolos de encriptacioacuten
bull Firmas digitales
bull Monitoreo de redes (Comunity Manager)
Consisten en ataques
intercepciones de datos y enviacuteo de
informacioacuten usurpando identidad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 39
Vulnerabilidades
bull Ataques contra el flujo de la informacioacuten FLUJO NORMAL
Los mensajes en una red se enviacutean a partir de un emisor a uno o varios receptores
El atacante es un tercer elemento en la realidad existen millones de elementos atacantesintencionales o accidentales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 40
Emisor Receptor
Atacante
bull INTERRUPCIONbull El mensaje no puede llegar a su destino un recurso del sistema es destruido o
temporalmente inutilizado
bull Este es un ataque contra la Disponibilidad
bull Ejemplos Destruccioacuten de una pieza de hardware cortar los medios de comunicacioacuten o deshabilitar los sistemas de administracioacuten de archivos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 41
Vulnerabilidades
Emisor
Atacante
Receptor
Vulnerabilidades
bull INTERCEPCIONbull Una persona computadora o programa sin autorizacioacuten logra el acceso a un
recurso controlado
bull Es un ataque contra la Confidencialidad
bull Ejemplos Escuchas electroacutenicos copias iliacutecitas de programas o datos escalamiento de privilegios
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 42
Emisor
Atacante
Receptor
Vulnerabilidades
bull MODIFICACIONbull La persona sin autorizacioacuten ademaacutes de lograr el acceso modifica el mensaje
bull Este es un ataque contra la Integridad
bull Ejemplos Alterar la informacioacuten que se transmite desde una base de datos modificar los mensajes entre programas para que se comporten diferente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 43
bull FABRICACIONbull Una persona sin autorizacioacuten inserta objetos falsos en el sistemabull Es un ataque contra la Autenticidadbull Ejemplos Suplantacioacuten de identidades robo de sesiones robo de contrasentildeas
robo de direcciones IP etcbull Es muy difiacutecil estar seguro de quieacuten esta al otro lado de la liacutenea
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 44
Vulnerabilidades
Emisor
Atacante
Receptor
iquestQuienes Atacan los Sistemas
Gobiernos Extranjeros
Espiacuteas industriales o poliacuteticos
Criminales
Empleados descontentos y abusos internos
Adolescentes sin nada que hacer
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 45
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 46
Estado del ataque Ejemplo de Acciones
1-Buacutesqueda de Ingreso Correr un scanner de puertos
2-Penetracioacuten Explorar un sistema sin parches de seguridad
3-Elevacioacuten de Privilegios Lograr cuenta de Administrador
5-Enmascaramiento Borrado de rastros del ingreso y ataque
4-Ataque en si mismo Robo de datos destruccioacuten del sitio web etc
INTRUSO
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 47
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 48
Actuacioacuten del Criminal
bull Se requieren talentos especiales
bull El fraude ha crecido gracias a la aparicioacuten de las computadoras
Mitos
bull Dinero
bull Satisfaccioacuten (egocentrismo)
bull Ideologiacutea
bull Psicosis
Motivaciones personales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 49
bull Ambiente de trabajo
bull Prestaciones
bull Nivel de confianza interpersonal
bull Eacutetica ambiental
bull Nivel de stress
bull AMBIENTE DE CONTROL INTERNO
Motivaciones ambientales
Ethical Hacking
Es una intrusioacuten eacutetica es la aplicacioacuten de herramientas de intrusioacuten penetracioacuten robo personificacioacuten y negacioacuten de servicio llevado a cabo por hackers eacuteticos es decir personas con la experiencia y conocimiento suficiente para llevar a cabo estas pruebas en nombre de la organizacioacuten es decir de manera legal y prevista para determinar el nivel de seguridad de una red de equipos o servicios (incluido el aspecto de ingenieriacutea social)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 50
Ethical Hacking
bull al conocer el nivel de seguridad que se tiene en nuestra organizacioacuten es mucho maacutes sencillo no simple el tomar medidas que puedan subsanar estas deficienciasiquestPor queacute es
Importante
bull No al usar las armas que el enemigo usa es maacutes factible que podamos determinar el nivel de riesgo y por tanto la respuesta que debemos dar ante un ataque vieacutendolo como analogiacutea meacutedica es como cuando nos vacunan pues nos inoculan una versioacuten del virus del cual nos quieren hacer inmunes
iquestNo es contraproducente
bull Al contratar un servicio o realizarlo de manera interna estamos confiando en la eacutetica profesional de quien evaluacutea por lo que siacute siempre llevamos un riesgo pero se establece un contrato de buena fe hacieacutendolo suficientemente fiable (asegurando)iquestEs fiable
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 51
Ejemplos de Criacutemenes Electroacutenicos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 52
Ataque en 1986 de alemanes trabajando para la KGB contra sistemas estrateacutegicos de EEUU (Clifford Stoll Cuckooacutes egg)
El gusano Morris que se propagoacute por internet en 1988
causando un problema de DoS La causa fue la interrupcioacuten
causada por un programa escrito por Robert Tappan Morris
414 Gang enviacutea ataques contra los registros meacutedicos del
hospital para enfermos de caacutencer Sloan-Kettering
Ataques de Kevin Mitnick 1989-1996
Penetracioacuten de la red de Microsoft en octubre de 2000
por un cracker que ganoacute acceso a programas en desarrollo
Esparcimiento del Love Letter difundido por Onel Guzmaacuten en
Filipinas
53
DDoS contra Yahoo Amazon y Zdnet
Muacuteltiples problemas por virus desde
entonces
Target (Robo de informacioacuten de clientes
Identidad y datos financieros)
Juegos del Hambre
Ataque a Sony (Cyberterrorismo) y la
Respuesta con el apagoacuten de internet a
Korea del Norte
Carnabank (Europa oriental europa
occidental EEUU Panamaacute)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
Ejemplos de Criacutemenes Electroacutenicos
Algunas Clases de Ataques
Negacioacuten de Servicio (DoS)
Robo de contrasentildeas
Robo de identidad
Ingenieriacutea social
Defacement
FraudePirateriacutea de
softwareDumpster
divingCoacutedigo
MaliciosoIP spoofing
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 54
Algunas Clases de Ataques
EspionajeDestruccioacuten o alteracioacuten de informacioacuten
Uso de scripts de ataque
desarrolladosPhishing
Ciber -Terrorismo
War DialingWar
DrivingWalkingWar Chalking
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 55
El Caso Carbanak 1MMMUS$
La banda delictiva ciberneacutetica CARBANAK roba mil millones de doacutelares de 100 instituciones financieras en todo el mundo Kaspersky Lab la INTERPOL EUROPOL y autoridades de diferentes paiacuteses han unido sus fuerzas para dejar al descubierto el complot delictivo de un robo ciberneacutetico sin precedentes Hasta mil millones de doacutelares americanos fueron robados en cerca de dos antildeos de instituciones financieras en todo el mundo Los expertos informan que la responsabilidad del robo recae en una banda multinacional de ciberdelincuentesde Rusia Ucrania y otras partes de Europa asiacute como de China
La banda CARBANAK responsable del robo ciberneacutetico utilizoacute teacutecnicas extraiacutedas del arsenal de los ataques selectivos El complot marca el inicio de una nueva etapa en la evolucioacuten de la actividad de delincuencia ciberneacutetica donde usuarios maliciosos roban dinero directamente de los bancos y evitan concentrar sus ataques en los usuarios finales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 56
Comunicado de prensa 160215 - Karpersky
5705062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
MALWARE
El malware es un tipo de software que tiene como objetivo infiltrarse o dantildear un ordenador sistema de informacioacuten sin el consentimiento de su propietario
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 58
POPUP
bull Un pop-up es un tipo de ventana web que aparece delante de la ventana de un navegador al visitar una paacutegina web
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 59
VOLVER
ADWARE
bull Un programa de clase adware es cualquier programa que automaacuteticamente muestra publicidad web al usuario durante su instalacioacuten o durante su uso para generar lucro a sus autores
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 60
SPAM
bull Se llama spam correo basura a los mensajes no solicitados no deseados o de remitente no conocido habitualmente de tipo publicitario generalmente enviados
en grandes cantidades que perjudican al receptor
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 61
Bomba Loacutegica
Son programas informaacuteticos que se instala en un ordenador y permanece oculto hasta cumplirse una o maacutes condiciones preprogramadas para en ese momento ejecutar una accioacuten
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 62
volver
VIRUS DE MACROS
bull Es una secuencia de oacuterdenes de teclado y ratoacuten asignadas a una sola tecla Los virus de macros afectan a archivos y plantillas que los contienen hacieacutendose pasar por una macro y no actuaraacuten hasta que el archivo se abra o utilice
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 63
VOLVER
VIRUS RESIDENTES
bull Se colocan automaacuteticamente en la memoria RAM del ordenador De este modo pueden controlar e interceptar todas las operaciones llevadas a cabo por el sistema operativo infectando todos aquellos ficheros yo programas que sean ejecutados abiertos cerrados renombrados copiados etc
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 64
VIRUS DE ENLACE
bull Modifican las direcciones que permiten a nivel interno acceder a cada uno de los archivos existentes y como consecuencia no es posible localizarlos y trabajar con ellos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 65
VOLVER
VIRUS MUTANTES
bull Son virus que mutan es decir x Debido a estas mutaciones cada generacioacuten de virus es diferente a la versioacuten anterior dificultando asiacute su deteccioacuten y eliminacioacuten
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 66
VIRUS DE BOOT
bull Se activan en el momento en el que se arranca el ordenador desde un disco infectado ya sea desde el disco duro o desde una memoria USB
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 67
VOLVER
VIRUS DE PROGRAMA
bull Comuacutenmente infectan archivos con extensiones EXE COM OVL DRV BIN DLL y SYS
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 68
VOLVER
VIRUS DE SOBREESCRITURA
bull Sobre-escriben en el interior de los archivos atacados haciendo que se pierda el contenido de los mismos
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 69
Ataques de Seguridad
bull Spyware Es un software de computadoraque al instalarse intercepta o toma controlparcial de la interaccioacuten de lacomputadora y el usuario esto sin que elmismo se de cuenta Estos programaspueden recolectar diferentes tipos deinformacioacuten de los usuarios asiacute comoinstalar software adicional sin elconsentimiento de los mismos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 70
71
Herramientas de Seguridad
bull Gusano Es un programa de computadora quepuede replicarse a si mismo utiliza la red paraenviar copias de si mismo a otros nodos y lopuede hacer sin la intervencioacuten del usuario
A diferencia de los ldquovirusrdquo los gusanos nonecesitan estar amarrados a un programa y sufuncioacuten es principalmente dantildear la red (ejdesempentildeo) mientras que los virus dantildeanarchivos en computadoras
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
72
Ataques de Seguridad
bull Caballo de Troya Es una programa que seinstala bajo la creencia de que se estainstalando alguna otra cosa Los troyanosson programas muy utilizados parainstalar programas tipo ldquobackdoorsrdquo quepermiten el acceso no autorizado a lacomputadora atacada un ejemplo deprogramas tipo backdoor son losKeyloogers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
73
Ataques de Seguridad
bull DoS Denial of service- Ataques quehacen indisponible un servicio a losusuarios
bull DDoS Son conocidos como DNSBackbone Distributed Denial ofServices ndash Ataques tienen comoblanco los servidores raiacutez DNS por lotanto afectan uno de los pilares delInternet los nombres de los dominios
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
74
Ataques de Seguridad
bull Footprinting Teacutecnica utilizada para reunir informacioacuten acerca de sistemas computacionales y las entidades a las que pertenece algunos ejemplos son
- Domain queries
- Network queries
- Organizational queries
- TCP scans
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
75
Ataques de Seguridad
bull Fingerprinting Tambieacuten es conocidocomo TCPIP stack fingerprinting y esutilizado para determinar que sistemaoperativo utiliza alguacuten blanco en la redExiste dos tipos de fingerprinting
- Pasivo- Activo
NMAP es una herramienta que utilizafingerprinting activo para mapearpuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
76
Ataques de Seguridad
bull Escaneo de puertos El escaneo depuertos se basa en el FingerprintingActivo es decir transmite y recibesentildeales como ICMP TELNET SNMPdesde un blanco determinado en lared esto con el fin de obtenerinformacioacuten de dicho blanco en estecaso informacioacuten acerca de suspuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
77
Ataques de Seguridad
bull Sniffing Para llevar a cabo el sniffing esnecesario contar con un ldquopacket snifferrdquoque puede ser software instalado en unacomputadora o un dispositivoindependiente (appliance) estedispositivo es utilizado para interceptar yregistrar traacutefico que pasa a traveacutes de unared o de un segmento de la misma(Puede ser de una red ethernet owireless)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
78
Ataques de Seguridad
bull Spoofing Los ataques tipo spoofing sonaquellos en los que una persona oprograma logra hacerse pasar por otrafalsificando informacioacuten o utilizando laingenieriacutea algunos ataques tipo spoofingson los siguientes
- Falsificacioacuten de direccioacuten de email
- Falsificacioacuten de ID de llamadas telefoacutenicas
- Falsificacioacuten de sitios de internet (phishing)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
79
Ataques de Seguridad
bull Phishing Es el uso de teacutecnicas deingenieriacutea social con la finalidad deadquirir de manera fraudulentainformacioacuten confidencial comonombres de usuarios contrasentildeasinformacioacuten de tarjetas de creacutedito
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
80
Ataques de Seguridad
bull Ingenieriacutea Social Se refiere a unacoleccioacuten de teacutecnicas utilizadas paramanipular a las personas para querealicen alguna accioacuten o divulgueninformacioacuten confidencial
Algunos ingenieros sociales notablesson
- Kevin Mitnik
- Frank Abagnale
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
Ingenieriacutea Social
Es el conjunto de meacutetodos y praacutecticas usados para obtener informacioacuten de usuarios legiacutetimos y con la informacioacuten obtenida lograr acceso a sistemas protegidos siendo esta praacutectica de uso comuacuten entre piratas informaacuteticos y delincuentes computacionales
Coacutemo me afecta Al no validar las referencias o no seguir el protocolo de seguridad adecuado para divulgar contrasentildeas o cualquier otra informacioacuten sensible podemos ser coacutemplices de un crimen Meacutexico ha acordado con organismos internacionales la homologacioacuten yo adecuacioacuten de coacutedigos penales para que estos delitos sean perseguidos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 81
Ingenieriacutea Social
Coacutemo puedo saber si estoy siendo viacutectima de un ingeniero social Muy simple cuando alguien nos pide alguacuten tipo de informacioacuten privilegiada y esta persona es insistente cuando le requerimos seguir un protocolo para validar su intencioacuten es altamente probable que estemos siendo viacutectimas de un intento de robo de informacioacuten por un ingeniero socialhacker
Coacutemo puedo evitarlo Sencillo si no confiamos en la persona que nos solicita los datos (supongamos un teacutecnico de soporte de nuestro lugar de trabajo) podemos pedirle que nos deje sus datos y comunicarnos con el 10 minutos despueacutes de validar que la peticioacuten es legiacutetima es decir soacutelo sigamos los protocolos que existen en el trabajo y crear los propios en casa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 82
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra los Sistemas que Utilizan Tecnologiacuteas de Informacioacuten
bull Artiacuteculo 6 Acceso indebido
bull Artiacuteculo 7 Sabotaje o dantildeo a sistemas
bull Artiacuteculo 8 Favorecimiento culposo del sabotaje o dantildeo
bull Artiacuteculo 9 Acceso indebido o sabotaje a sistemas protegidos
bull Artiacuteculo 10 Posesioacuten de equipos o prestacioacuten de servicios de sabotaje
bull Artiacuteculo 11 Espionaje informaacutetico
bull Artiacuteculo 12 Falsificacioacuten de documentos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 83
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Propiedad
bull Artiacuteculo 13 Hurto
bull Artiacuteculo 14 Fraude
bull Artiacuteculo 15 Obtencioacuten indebida de bienes o servicios
bull Artiacuteculo 16 Manejo fraudulento de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 17 Apropiacioacuten de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 18 Provisioacuten indebida de bienes o servicios
bull Artiacuteculo 19 Posesioacuten de equipo para falsificaciones
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 84
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Privacidad de las Personas y de las Comunicaciones
bullArtiacuteculo 20 Violacioacuten de la privacidad de la data o informacioacuten de caraacutecter personal
bullArtiacuteculo 21 Violacioacuten de la privacidad de las comunicaciones
bullArtiacuteculo 22 Revelacioacuten indebida de data o informacioacuten de caraacutecter personal
De los Delitos Contra Nintildeos Nintildeas o Adolescentes
bullArtiacuteculo 23 Difusioacuten o exhibicioacuten de material pornograacutefico
bullArtiacuteculo 24 Exhibicioacuten pornograacutefica de nintildeos o adolescentes
De los Delitos Contra el Orden Econoacutemico
bullArtiacuteculo 25 Apropiacioacuten de propiedad intelectual
bullArtiacuteculo 26 Oferta engantildeosa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 85
Plan de Contingencia Continuidad Operacional
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 86
Plan de Contingencia
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 87
ldquoConjunto de Normas y Procedimientos documentadosy comunicados que tienen por objetivo minimizar los riesgos informaacuteticos mas probablesrdquo
InvolucrabullUso de herramientas
bullCumplimiento de Tareas por
parte de personas
Plan de Contingencia
Consta de tres subplanes independientes
bull Plan de Respaldo crear y conservar en un lugar seguro copias de seguridad de la informacioacuten
bull Pla de Emergencia queacute medidas tomar cuando se estaacute materializando una amenaza o cuando acaba de producirse
bull Plan de Recuperacioacuten medidas que se aplicaran cuando se ha producido un desastre El objetivo es evaluar el impacto y regresar lo antes posible
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 88
Plan de Contingencia
En la elaboracioacuten de este plan no se puede dejar por fuera a los miembros de la organizacioacuten el cual debe estar informado y entrenado para actuar en las funciones que le hayan sido encomendadas en caso de producirse una amenaza o impacto
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 89
Continuidad Operacional
Business Continuity Planning (Plan de Continuidad de negocios)
bull Plan Baacutesico
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Coldsite)
bull Plan Intermedio
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan Alto
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan de respuesta y continuidad de negocios alternativo (sin asistencia de sistemas)
bull Stress Testing al Plan
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 90
El Stress Testing
bull Poner a prueba el planbull Revise y evalueacute
bull Respaldosbull Oportunidad integridad y funcionalidadbull Custodia y transporte
bull Cold y Hotsitebull Funcionalidad accesibilidad y compatibilidadbull Actualizacioacuten oportuna (hotsite)
bull Personalbull Roles y funcionesbull Accesibilidad (contactos y comunicaciones)
bull Simulacioacuten de cataacutestrofesbull Sin previo aviso el director encargado del BCP se presenta en el centro de computo
cronometro en mano y baja la cuchilla de electricidad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 91
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de Lehman Brothers
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el WorldTrade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehman se desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del World Trade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehman teniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 92
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de LehmanBrothers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 93
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el World Trade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehmanse desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 94
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del WorldTrade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehmanteniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 95
La Contingencia Manual la Uacuteltima Frontera
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 96
05062015 97
DATOS BAacuteSICOS
Responsable A Nivel Corporativo Responsable(s) A Nivel Regional
PROVEEDOR (ES)
Origen Responsable Insumo (s)
RESULTADOS
Normas y Procedimientos Asociados Fecha uacuteltima revisioacuten Sistemas Aplicaciones Asociadas
Proceso
CALIFICACIOacuteN DE CONTROLES DE ENTRADA
Actividad
RECOMENDACIONES
Procesamiento
Automaacutetico (A)Manual (M)
Frecuencia
Adiestramiento Proceso Sistema N y P Otros
Negocio Area Localidad
Responsable
Nombre CargoNombre Cargo
NOMBRE
ELABORADO POR
CARGO FIRMA
Calidad de Data (B) Buena (R) Regular (M) Mala Oportunidad (AT) A Tiempo (R) Retrasada Revisioacuten Aprobacioacuten (S) Si (N) NoLEYENDA
Calificacioacuten (F) Fuerte (M) Medio (B) Bajo
DescripcioacutenResponsableDescripcioacuten
Tarea
Descripcioacuten
FRECUENCIA DE LA TAREA Diaria (D) Semanal (S) Mensual (M) Trimestral (T) Anual (A) Ocasional (O)
Soportes Recepcioacuten (P) Papel (E) Electroacutenico Archivo (S) Si (N) No Soportes Enviacuteo (S) Si (N) No Backup (S) Si (N) No
Producto (s) Cliente ReceptorControl
de salida
SoportesFrecuencia
Recepcioacuten Backup
DOCUMENTOS SISTEMAS ASOCIADOS A LOS CONTROLES
CALIFICACIOacuteN DE CONTROLES (por parte del Cliente Receptor)
Revisioacuten
Aprobacioacuten
Revisioacuten
AprobacioacutenTipo de control
Procesamiento
Automaacutetico (A)Manual (M)
Control
De EntradaTipo de control
Soportes
Recepcioacuten Archivo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 98
DATOS BAacuteSICOS
TareaActividad
Proceso Responsable del Proceso
Fecha de Elaboracioacuten 2015
Accioacuten (es) Responsable (s)
OBSERVACIONES ELABORADO POR
FIRMA
NOMBRE
Plan de recuperacioacuten y Reactivacioacuten de Finanzas
Recomendaciones Acciones
La Cadena de Valor de una Organizacioacuten de Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 99
ASESORAR EN CONTROLES DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR DELEGACIONES FINANCIERAS
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
CONTROLAR SEGURIDAD SISTEMA
OPERACIONALES ADMINISTRATIVOS Y OTROS
SISTEMAS FINANCIEROS
DESARROLLAR CONTROLES
DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR Y DESARROLLAR PLAN INTEGRAL DE CONTROL ( PIC )
Asesorar en controles de procesos normas y
Procedimientos
Administrar delegaciones financieras
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
Controlar seguridad sistema
operacionales administrativos y otros
sistemas financieros
Desarrollar
controles de
procesos
normas y
procedimientos
Administrar y desarrollar plan integral de control ( PIC )
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 30
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 31
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Seguridad Informaacutetica a Nivel de Usuarios
bull Los usuarios se acostumbran a usar la tecnologiacutea sin saber como funciona o de los riesgos que pueden correr
bull Son el punto de entrada de muchos de los problemas croacutenicos
bull Son ldquoEl eslaboacuten maacutes deacutebilrdquo en la cadena de seguridad
Usuarios comunes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 32
Seguridad Informaacutetica a Nivel de Usuarios
bull Principio del MENOR PRIVILEGIO POSIBLE
bull EDUCAR AL USUARIO
Dos enfoques para
controlarlos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 33
Seguridad Informaacutetica a Nivel de Usuarios
Principio del MENOR PRIVILEGIO POSIBLE Implica seguridad de
acceso al sistema (usuario password perfiles de usuario de
manera transaccional ndash seguridad por posicioacuten workflow)
bull Reducir la capacidad de accioacuten del usuario sobre los sistemas
bull Objetivo Lograr el menor dantildeo posible en caso de incidentes
Administracioacuten de privilegios
bull Usuarios uacutenicos e intransferibles
bull Procesos de desactivacioacuten de cuentas y activacioacuten del reemplazo (en periacuteodos vacacionales y de reposos)
bull Administracioacuten de claves de acceso
bull Alfanumeacutericas + caracteres especiales + mayuacutesculas minuacutesculas
bull Caducidad
bull Bloqueo por intentos fallidos
bull Prohibicioacuten de palabras y datos de uso comuacuten o asociadas al usuario
bull Reseteo de clave de forma automaacutetica con preguntas de desafiacuteo (pe usando datos encriptados que solo el usuario conoce como fecha de ingreso a la empresa)
bull Perfil de usuario
bull De acuerdo a la actividad y delegacioacuten de autoridad de acuerdo a su posicioacuten y responsabilidades
bull Esquemas de proteccioacuten de datos e informacioacuten (Privado Confidencial y Estrictamente Privado y Confidencial) seguacuten la posicioacuten y actividades (previendo delincuencia comuacuten o DDOO)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 34
Seguridad Informaacutetica a Nivel de Usuarios
EDUCAR AL USUARIO
bull Documentar y publicar todas las normas y procedimientos asociados
bull Generar una cultura de seguridad El usuario ayuda a reforzar y aplicar los mecanismos de seguridad
bull Objetivo Reducir el nuacutemero de incidentes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 35
Adicionales a los que ya
se mostroacute para
usuarios comunes se
debe
bull Seguridad de acceso a las instalaciones (aacuterea de desarrollo y aacuterea de servidores o main frame)
bull Poliacutetica de respaldo de informacioacuten y programas que incluyan backups in situ outside a modo copia espejo e incremental (solo variaciones)
bull Poliacuteticas de sustraccioacuten de datos incluyendo el uso de CDROM y Pendrivers (Wikiliks)
bull Crear ambientes de desarrollo de software aislados de los ambientes de produccioacuten (operaciones de la empresa) y de prueba Crear ambientes de prueba con participacioacuten funcional
bull Crear protocolos de procesos de cambio (implantacioacuten de sistemas actualizacioacuten de software incluidos los sistemas operativos) que incluyan respaldo total de programas y datos a modo espejo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 36
Seguridad Informaacutetica a Nivel de Usuarios
Vulnerabilidad
bull En un sistema informaacutetico lo que queremos proteger son sus activos es decir los recursos que forman parte del sistema y que podemos agrupar enbull - Hardware - Software
bull - Datos - Otros
bull Los mas criacuteticos son los datos el hardware y el software Es decir los datos que estaacuten almacenados en el hardware y que son procesados por las aplicaciones software
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 37
Vulnerabilidad
bull Es la debilidad de cualquier tipo que compromete la seguridad del sistema informaacutetico
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 38
Disentildeobull Debilidad en el disentildeo de protocolos utilizados en las redes
bull Poliacuteticas de seguridad deficientes e inexistentes
Implementacioacuten
bull Errores de programacioacuten
bull Existencia de ldquopuertas traserasrdquo en los sistemas informaacuteticos
bull Descuido de los fabricantes
Uso
bull Mala configuracioacuten de los sistemas informaacuteticos
bull Desconocimiento y falta de sensibilizacioacuten de los usuarios y de los responsables de informaacutetica
bull Disponibilidad de herramientas que facilitan los ataques
bull Limitacioacuten gubernamental de tecnologiacuteas de seguridad
Vulnerabilidades conocidas
bull Firewall
bull Antivirus
bull Malware
bull Antispy
bull Protocolos de encriptacioacuten
bull Firmas digitales
bull Monitoreo de redes (Comunity Manager)
Consisten en ataques
intercepciones de datos y enviacuteo de
informacioacuten usurpando identidad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 39
Vulnerabilidades
bull Ataques contra el flujo de la informacioacuten FLUJO NORMAL
Los mensajes en una red se enviacutean a partir de un emisor a uno o varios receptores
El atacante es un tercer elemento en la realidad existen millones de elementos atacantesintencionales o accidentales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 40
Emisor Receptor
Atacante
bull INTERRUPCIONbull El mensaje no puede llegar a su destino un recurso del sistema es destruido o
temporalmente inutilizado
bull Este es un ataque contra la Disponibilidad
bull Ejemplos Destruccioacuten de una pieza de hardware cortar los medios de comunicacioacuten o deshabilitar los sistemas de administracioacuten de archivos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 41
Vulnerabilidades
Emisor
Atacante
Receptor
Vulnerabilidades
bull INTERCEPCIONbull Una persona computadora o programa sin autorizacioacuten logra el acceso a un
recurso controlado
bull Es un ataque contra la Confidencialidad
bull Ejemplos Escuchas electroacutenicos copias iliacutecitas de programas o datos escalamiento de privilegios
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 42
Emisor
Atacante
Receptor
Vulnerabilidades
bull MODIFICACIONbull La persona sin autorizacioacuten ademaacutes de lograr el acceso modifica el mensaje
bull Este es un ataque contra la Integridad
bull Ejemplos Alterar la informacioacuten que se transmite desde una base de datos modificar los mensajes entre programas para que se comporten diferente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 43
bull FABRICACIONbull Una persona sin autorizacioacuten inserta objetos falsos en el sistemabull Es un ataque contra la Autenticidadbull Ejemplos Suplantacioacuten de identidades robo de sesiones robo de contrasentildeas
robo de direcciones IP etcbull Es muy difiacutecil estar seguro de quieacuten esta al otro lado de la liacutenea
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 44
Vulnerabilidades
Emisor
Atacante
Receptor
iquestQuienes Atacan los Sistemas
Gobiernos Extranjeros
Espiacuteas industriales o poliacuteticos
Criminales
Empleados descontentos y abusos internos
Adolescentes sin nada que hacer
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 45
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 46
Estado del ataque Ejemplo de Acciones
1-Buacutesqueda de Ingreso Correr un scanner de puertos
2-Penetracioacuten Explorar un sistema sin parches de seguridad
3-Elevacioacuten de Privilegios Lograr cuenta de Administrador
5-Enmascaramiento Borrado de rastros del ingreso y ataque
4-Ataque en si mismo Robo de datos destruccioacuten del sitio web etc
INTRUSO
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 47
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 48
Actuacioacuten del Criminal
bull Se requieren talentos especiales
bull El fraude ha crecido gracias a la aparicioacuten de las computadoras
Mitos
bull Dinero
bull Satisfaccioacuten (egocentrismo)
bull Ideologiacutea
bull Psicosis
Motivaciones personales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 49
bull Ambiente de trabajo
bull Prestaciones
bull Nivel de confianza interpersonal
bull Eacutetica ambiental
bull Nivel de stress
bull AMBIENTE DE CONTROL INTERNO
Motivaciones ambientales
Ethical Hacking
Es una intrusioacuten eacutetica es la aplicacioacuten de herramientas de intrusioacuten penetracioacuten robo personificacioacuten y negacioacuten de servicio llevado a cabo por hackers eacuteticos es decir personas con la experiencia y conocimiento suficiente para llevar a cabo estas pruebas en nombre de la organizacioacuten es decir de manera legal y prevista para determinar el nivel de seguridad de una red de equipos o servicios (incluido el aspecto de ingenieriacutea social)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 50
Ethical Hacking
bull al conocer el nivel de seguridad que se tiene en nuestra organizacioacuten es mucho maacutes sencillo no simple el tomar medidas que puedan subsanar estas deficienciasiquestPor queacute es
Importante
bull No al usar las armas que el enemigo usa es maacutes factible que podamos determinar el nivel de riesgo y por tanto la respuesta que debemos dar ante un ataque vieacutendolo como analogiacutea meacutedica es como cuando nos vacunan pues nos inoculan una versioacuten del virus del cual nos quieren hacer inmunes
iquestNo es contraproducente
bull Al contratar un servicio o realizarlo de manera interna estamos confiando en la eacutetica profesional de quien evaluacutea por lo que siacute siempre llevamos un riesgo pero se establece un contrato de buena fe hacieacutendolo suficientemente fiable (asegurando)iquestEs fiable
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 51
Ejemplos de Criacutemenes Electroacutenicos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 52
Ataque en 1986 de alemanes trabajando para la KGB contra sistemas estrateacutegicos de EEUU (Clifford Stoll Cuckooacutes egg)
El gusano Morris que se propagoacute por internet en 1988
causando un problema de DoS La causa fue la interrupcioacuten
causada por un programa escrito por Robert Tappan Morris
414 Gang enviacutea ataques contra los registros meacutedicos del
hospital para enfermos de caacutencer Sloan-Kettering
Ataques de Kevin Mitnick 1989-1996
Penetracioacuten de la red de Microsoft en octubre de 2000
por un cracker que ganoacute acceso a programas en desarrollo
Esparcimiento del Love Letter difundido por Onel Guzmaacuten en
Filipinas
53
DDoS contra Yahoo Amazon y Zdnet
Muacuteltiples problemas por virus desde
entonces
Target (Robo de informacioacuten de clientes
Identidad y datos financieros)
Juegos del Hambre
Ataque a Sony (Cyberterrorismo) y la
Respuesta con el apagoacuten de internet a
Korea del Norte
Carnabank (Europa oriental europa
occidental EEUU Panamaacute)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
Ejemplos de Criacutemenes Electroacutenicos
Algunas Clases de Ataques
Negacioacuten de Servicio (DoS)
Robo de contrasentildeas
Robo de identidad
Ingenieriacutea social
Defacement
FraudePirateriacutea de
softwareDumpster
divingCoacutedigo
MaliciosoIP spoofing
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 54
Algunas Clases de Ataques
EspionajeDestruccioacuten o alteracioacuten de informacioacuten
Uso de scripts de ataque
desarrolladosPhishing
Ciber -Terrorismo
War DialingWar
DrivingWalkingWar Chalking
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 55
El Caso Carbanak 1MMMUS$
La banda delictiva ciberneacutetica CARBANAK roba mil millones de doacutelares de 100 instituciones financieras en todo el mundo Kaspersky Lab la INTERPOL EUROPOL y autoridades de diferentes paiacuteses han unido sus fuerzas para dejar al descubierto el complot delictivo de un robo ciberneacutetico sin precedentes Hasta mil millones de doacutelares americanos fueron robados en cerca de dos antildeos de instituciones financieras en todo el mundo Los expertos informan que la responsabilidad del robo recae en una banda multinacional de ciberdelincuentesde Rusia Ucrania y otras partes de Europa asiacute como de China
La banda CARBANAK responsable del robo ciberneacutetico utilizoacute teacutecnicas extraiacutedas del arsenal de los ataques selectivos El complot marca el inicio de una nueva etapa en la evolucioacuten de la actividad de delincuencia ciberneacutetica donde usuarios maliciosos roban dinero directamente de los bancos y evitan concentrar sus ataques en los usuarios finales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 56
Comunicado de prensa 160215 - Karpersky
5705062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
MALWARE
El malware es un tipo de software que tiene como objetivo infiltrarse o dantildear un ordenador sistema de informacioacuten sin el consentimiento de su propietario
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 58
POPUP
bull Un pop-up es un tipo de ventana web que aparece delante de la ventana de un navegador al visitar una paacutegina web
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 59
VOLVER
ADWARE
bull Un programa de clase adware es cualquier programa que automaacuteticamente muestra publicidad web al usuario durante su instalacioacuten o durante su uso para generar lucro a sus autores
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 60
SPAM
bull Se llama spam correo basura a los mensajes no solicitados no deseados o de remitente no conocido habitualmente de tipo publicitario generalmente enviados
en grandes cantidades que perjudican al receptor
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 61
Bomba Loacutegica
Son programas informaacuteticos que se instala en un ordenador y permanece oculto hasta cumplirse una o maacutes condiciones preprogramadas para en ese momento ejecutar una accioacuten
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 62
volver
VIRUS DE MACROS
bull Es una secuencia de oacuterdenes de teclado y ratoacuten asignadas a una sola tecla Los virus de macros afectan a archivos y plantillas que los contienen hacieacutendose pasar por una macro y no actuaraacuten hasta que el archivo se abra o utilice
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 63
VOLVER
VIRUS RESIDENTES
bull Se colocan automaacuteticamente en la memoria RAM del ordenador De este modo pueden controlar e interceptar todas las operaciones llevadas a cabo por el sistema operativo infectando todos aquellos ficheros yo programas que sean ejecutados abiertos cerrados renombrados copiados etc
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 64
VIRUS DE ENLACE
bull Modifican las direcciones que permiten a nivel interno acceder a cada uno de los archivos existentes y como consecuencia no es posible localizarlos y trabajar con ellos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 65
VOLVER
VIRUS MUTANTES
bull Son virus que mutan es decir x Debido a estas mutaciones cada generacioacuten de virus es diferente a la versioacuten anterior dificultando asiacute su deteccioacuten y eliminacioacuten
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 66
VIRUS DE BOOT
bull Se activan en el momento en el que se arranca el ordenador desde un disco infectado ya sea desde el disco duro o desde una memoria USB
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 67
VOLVER
VIRUS DE PROGRAMA
bull Comuacutenmente infectan archivos con extensiones EXE COM OVL DRV BIN DLL y SYS
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 68
VOLVER
VIRUS DE SOBREESCRITURA
bull Sobre-escriben en el interior de los archivos atacados haciendo que se pierda el contenido de los mismos
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 69
Ataques de Seguridad
bull Spyware Es un software de computadoraque al instalarse intercepta o toma controlparcial de la interaccioacuten de lacomputadora y el usuario esto sin que elmismo se de cuenta Estos programaspueden recolectar diferentes tipos deinformacioacuten de los usuarios asiacute comoinstalar software adicional sin elconsentimiento de los mismos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 70
71
Herramientas de Seguridad
bull Gusano Es un programa de computadora quepuede replicarse a si mismo utiliza la red paraenviar copias de si mismo a otros nodos y lopuede hacer sin la intervencioacuten del usuario
A diferencia de los ldquovirusrdquo los gusanos nonecesitan estar amarrados a un programa y sufuncioacuten es principalmente dantildear la red (ejdesempentildeo) mientras que los virus dantildeanarchivos en computadoras
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
72
Ataques de Seguridad
bull Caballo de Troya Es una programa que seinstala bajo la creencia de que se estainstalando alguna otra cosa Los troyanosson programas muy utilizados parainstalar programas tipo ldquobackdoorsrdquo quepermiten el acceso no autorizado a lacomputadora atacada un ejemplo deprogramas tipo backdoor son losKeyloogers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
73
Ataques de Seguridad
bull DoS Denial of service- Ataques quehacen indisponible un servicio a losusuarios
bull DDoS Son conocidos como DNSBackbone Distributed Denial ofServices ndash Ataques tienen comoblanco los servidores raiacutez DNS por lotanto afectan uno de los pilares delInternet los nombres de los dominios
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
74
Ataques de Seguridad
bull Footprinting Teacutecnica utilizada para reunir informacioacuten acerca de sistemas computacionales y las entidades a las que pertenece algunos ejemplos son
- Domain queries
- Network queries
- Organizational queries
- TCP scans
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
75
Ataques de Seguridad
bull Fingerprinting Tambieacuten es conocidocomo TCPIP stack fingerprinting y esutilizado para determinar que sistemaoperativo utiliza alguacuten blanco en la redExiste dos tipos de fingerprinting
- Pasivo- Activo
NMAP es una herramienta que utilizafingerprinting activo para mapearpuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
76
Ataques de Seguridad
bull Escaneo de puertos El escaneo depuertos se basa en el FingerprintingActivo es decir transmite y recibesentildeales como ICMP TELNET SNMPdesde un blanco determinado en lared esto con el fin de obtenerinformacioacuten de dicho blanco en estecaso informacioacuten acerca de suspuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
77
Ataques de Seguridad
bull Sniffing Para llevar a cabo el sniffing esnecesario contar con un ldquopacket snifferrdquoque puede ser software instalado en unacomputadora o un dispositivoindependiente (appliance) estedispositivo es utilizado para interceptar yregistrar traacutefico que pasa a traveacutes de unared o de un segmento de la misma(Puede ser de una red ethernet owireless)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
78
Ataques de Seguridad
bull Spoofing Los ataques tipo spoofing sonaquellos en los que una persona oprograma logra hacerse pasar por otrafalsificando informacioacuten o utilizando laingenieriacutea algunos ataques tipo spoofingson los siguientes
- Falsificacioacuten de direccioacuten de email
- Falsificacioacuten de ID de llamadas telefoacutenicas
- Falsificacioacuten de sitios de internet (phishing)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
79
Ataques de Seguridad
bull Phishing Es el uso de teacutecnicas deingenieriacutea social con la finalidad deadquirir de manera fraudulentainformacioacuten confidencial comonombres de usuarios contrasentildeasinformacioacuten de tarjetas de creacutedito
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
80
Ataques de Seguridad
bull Ingenieriacutea Social Se refiere a unacoleccioacuten de teacutecnicas utilizadas paramanipular a las personas para querealicen alguna accioacuten o divulgueninformacioacuten confidencial
Algunos ingenieros sociales notablesson
- Kevin Mitnik
- Frank Abagnale
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
Ingenieriacutea Social
Es el conjunto de meacutetodos y praacutecticas usados para obtener informacioacuten de usuarios legiacutetimos y con la informacioacuten obtenida lograr acceso a sistemas protegidos siendo esta praacutectica de uso comuacuten entre piratas informaacuteticos y delincuentes computacionales
Coacutemo me afecta Al no validar las referencias o no seguir el protocolo de seguridad adecuado para divulgar contrasentildeas o cualquier otra informacioacuten sensible podemos ser coacutemplices de un crimen Meacutexico ha acordado con organismos internacionales la homologacioacuten yo adecuacioacuten de coacutedigos penales para que estos delitos sean perseguidos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 81
Ingenieriacutea Social
Coacutemo puedo saber si estoy siendo viacutectima de un ingeniero social Muy simple cuando alguien nos pide alguacuten tipo de informacioacuten privilegiada y esta persona es insistente cuando le requerimos seguir un protocolo para validar su intencioacuten es altamente probable que estemos siendo viacutectimas de un intento de robo de informacioacuten por un ingeniero socialhacker
Coacutemo puedo evitarlo Sencillo si no confiamos en la persona que nos solicita los datos (supongamos un teacutecnico de soporte de nuestro lugar de trabajo) podemos pedirle que nos deje sus datos y comunicarnos con el 10 minutos despueacutes de validar que la peticioacuten es legiacutetima es decir soacutelo sigamos los protocolos que existen en el trabajo y crear los propios en casa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 82
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra los Sistemas que Utilizan Tecnologiacuteas de Informacioacuten
bull Artiacuteculo 6 Acceso indebido
bull Artiacuteculo 7 Sabotaje o dantildeo a sistemas
bull Artiacuteculo 8 Favorecimiento culposo del sabotaje o dantildeo
bull Artiacuteculo 9 Acceso indebido o sabotaje a sistemas protegidos
bull Artiacuteculo 10 Posesioacuten de equipos o prestacioacuten de servicios de sabotaje
bull Artiacuteculo 11 Espionaje informaacutetico
bull Artiacuteculo 12 Falsificacioacuten de documentos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 83
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Propiedad
bull Artiacuteculo 13 Hurto
bull Artiacuteculo 14 Fraude
bull Artiacuteculo 15 Obtencioacuten indebida de bienes o servicios
bull Artiacuteculo 16 Manejo fraudulento de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 17 Apropiacioacuten de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 18 Provisioacuten indebida de bienes o servicios
bull Artiacuteculo 19 Posesioacuten de equipo para falsificaciones
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 84
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Privacidad de las Personas y de las Comunicaciones
bullArtiacuteculo 20 Violacioacuten de la privacidad de la data o informacioacuten de caraacutecter personal
bullArtiacuteculo 21 Violacioacuten de la privacidad de las comunicaciones
bullArtiacuteculo 22 Revelacioacuten indebida de data o informacioacuten de caraacutecter personal
De los Delitos Contra Nintildeos Nintildeas o Adolescentes
bullArtiacuteculo 23 Difusioacuten o exhibicioacuten de material pornograacutefico
bullArtiacuteculo 24 Exhibicioacuten pornograacutefica de nintildeos o adolescentes
De los Delitos Contra el Orden Econoacutemico
bullArtiacuteculo 25 Apropiacioacuten de propiedad intelectual
bullArtiacuteculo 26 Oferta engantildeosa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 85
Plan de Contingencia Continuidad Operacional
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 86
Plan de Contingencia
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 87
ldquoConjunto de Normas y Procedimientos documentadosy comunicados que tienen por objetivo minimizar los riesgos informaacuteticos mas probablesrdquo
InvolucrabullUso de herramientas
bullCumplimiento de Tareas por
parte de personas
Plan de Contingencia
Consta de tres subplanes independientes
bull Plan de Respaldo crear y conservar en un lugar seguro copias de seguridad de la informacioacuten
bull Pla de Emergencia queacute medidas tomar cuando se estaacute materializando una amenaza o cuando acaba de producirse
bull Plan de Recuperacioacuten medidas que se aplicaran cuando se ha producido un desastre El objetivo es evaluar el impacto y regresar lo antes posible
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 88
Plan de Contingencia
En la elaboracioacuten de este plan no se puede dejar por fuera a los miembros de la organizacioacuten el cual debe estar informado y entrenado para actuar en las funciones que le hayan sido encomendadas en caso de producirse una amenaza o impacto
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 89
Continuidad Operacional
Business Continuity Planning (Plan de Continuidad de negocios)
bull Plan Baacutesico
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Coldsite)
bull Plan Intermedio
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan Alto
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan de respuesta y continuidad de negocios alternativo (sin asistencia de sistemas)
bull Stress Testing al Plan
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 90
El Stress Testing
bull Poner a prueba el planbull Revise y evalueacute
bull Respaldosbull Oportunidad integridad y funcionalidadbull Custodia y transporte
bull Cold y Hotsitebull Funcionalidad accesibilidad y compatibilidadbull Actualizacioacuten oportuna (hotsite)
bull Personalbull Roles y funcionesbull Accesibilidad (contactos y comunicaciones)
bull Simulacioacuten de cataacutestrofesbull Sin previo aviso el director encargado del BCP se presenta en el centro de computo
cronometro en mano y baja la cuchilla de electricidad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 91
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de Lehman Brothers
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el WorldTrade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehman se desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del World Trade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehman teniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 92
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de LehmanBrothers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 93
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el World Trade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehmanse desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 94
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del WorldTrade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehmanteniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 95
La Contingencia Manual la Uacuteltima Frontera
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 96
05062015 97
DATOS BAacuteSICOS
Responsable A Nivel Corporativo Responsable(s) A Nivel Regional
PROVEEDOR (ES)
Origen Responsable Insumo (s)
RESULTADOS
Normas y Procedimientos Asociados Fecha uacuteltima revisioacuten Sistemas Aplicaciones Asociadas
Proceso
CALIFICACIOacuteN DE CONTROLES DE ENTRADA
Actividad
RECOMENDACIONES
Procesamiento
Automaacutetico (A)Manual (M)
Frecuencia
Adiestramiento Proceso Sistema N y P Otros
Negocio Area Localidad
Responsable
Nombre CargoNombre Cargo
NOMBRE
ELABORADO POR
CARGO FIRMA
Calidad de Data (B) Buena (R) Regular (M) Mala Oportunidad (AT) A Tiempo (R) Retrasada Revisioacuten Aprobacioacuten (S) Si (N) NoLEYENDA
Calificacioacuten (F) Fuerte (M) Medio (B) Bajo
DescripcioacutenResponsableDescripcioacuten
Tarea
Descripcioacuten
FRECUENCIA DE LA TAREA Diaria (D) Semanal (S) Mensual (M) Trimestral (T) Anual (A) Ocasional (O)
Soportes Recepcioacuten (P) Papel (E) Electroacutenico Archivo (S) Si (N) No Soportes Enviacuteo (S) Si (N) No Backup (S) Si (N) No
Producto (s) Cliente ReceptorControl
de salida
SoportesFrecuencia
Recepcioacuten Backup
DOCUMENTOS SISTEMAS ASOCIADOS A LOS CONTROLES
CALIFICACIOacuteN DE CONTROLES (por parte del Cliente Receptor)
Revisioacuten
Aprobacioacuten
Revisioacuten
AprobacioacutenTipo de control
Procesamiento
Automaacutetico (A)Manual (M)
Control
De EntradaTipo de control
Soportes
Recepcioacuten Archivo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 98
DATOS BAacuteSICOS
TareaActividad
Proceso Responsable del Proceso
Fecha de Elaboracioacuten 2015
Accioacuten (es) Responsable (s)
OBSERVACIONES ELABORADO POR
FIRMA
NOMBRE
Plan de recuperacioacuten y Reactivacioacuten de Finanzas
Recomendaciones Acciones
La Cadena de Valor de una Organizacioacuten de Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 99
ASESORAR EN CONTROLES DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR DELEGACIONES FINANCIERAS
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
CONTROLAR SEGURIDAD SISTEMA
OPERACIONALES ADMINISTRATIVOS Y OTROS
SISTEMAS FINANCIEROS
DESARROLLAR CONTROLES
DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR Y DESARROLLAR PLAN INTEGRAL DE CONTROL ( PIC )
Asesorar en controles de procesos normas y
Procedimientos
Administrar delegaciones financieras
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
Controlar seguridad sistema
operacionales administrativos y otros
sistemas financieros
Desarrollar
controles de
procesos
normas y
procedimientos
Administrar y desarrollar plan integral de control ( PIC )
Riesgos AmenazasAacutembitos Espaciales de la Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 31
Servidores Web
Servidores
Estaciones
Usuarios Procesos
Usuarios Sistemas
Externos Internos
Sistema Financiero
Clientes
Proveedores
Otros
Seguridad Informaacutetica a Nivel de Usuarios
bull Los usuarios se acostumbran a usar la tecnologiacutea sin saber como funciona o de los riesgos que pueden correr
bull Son el punto de entrada de muchos de los problemas croacutenicos
bull Son ldquoEl eslaboacuten maacutes deacutebilrdquo en la cadena de seguridad
Usuarios comunes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 32
Seguridad Informaacutetica a Nivel de Usuarios
bull Principio del MENOR PRIVILEGIO POSIBLE
bull EDUCAR AL USUARIO
Dos enfoques para
controlarlos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 33
Seguridad Informaacutetica a Nivel de Usuarios
Principio del MENOR PRIVILEGIO POSIBLE Implica seguridad de
acceso al sistema (usuario password perfiles de usuario de
manera transaccional ndash seguridad por posicioacuten workflow)
bull Reducir la capacidad de accioacuten del usuario sobre los sistemas
bull Objetivo Lograr el menor dantildeo posible en caso de incidentes
Administracioacuten de privilegios
bull Usuarios uacutenicos e intransferibles
bull Procesos de desactivacioacuten de cuentas y activacioacuten del reemplazo (en periacuteodos vacacionales y de reposos)
bull Administracioacuten de claves de acceso
bull Alfanumeacutericas + caracteres especiales + mayuacutesculas minuacutesculas
bull Caducidad
bull Bloqueo por intentos fallidos
bull Prohibicioacuten de palabras y datos de uso comuacuten o asociadas al usuario
bull Reseteo de clave de forma automaacutetica con preguntas de desafiacuteo (pe usando datos encriptados que solo el usuario conoce como fecha de ingreso a la empresa)
bull Perfil de usuario
bull De acuerdo a la actividad y delegacioacuten de autoridad de acuerdo a su posicioacuten y responsabilidades
bull Esquemas de proteccioacuten de datos e informacioacuten (Privado Confidencial y Estrictamente Privado y Confidencial) seguacuten la posicioacuten y actividades (previendo delincuencia comuacuten o DDOO)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 34
Seguridad Informaacutetica a Nivel de Usuarios
EDUCAR AL USUARIO
bull Documentar y publicar todas las normas y procedimientos asociados
bull Generar una cultura de seguridad El usuario ayuda a reforzar y aplicar los mecanismos de seguridad
bull Objetivo Reducir el nuacutemero de incidentes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 35
Adicionales a los que ya
se mostroacute para
usuarios comunes se
debe
bull Seguridad de acceso a las instalaciones (aacuterea de desarrollo y aacuterea de servidores o main frame)
bull Poliacutetica de respaldo de informacioacuten y programas que incluyan backups in situ outside a modo copia espejo e incremental (solo variaciones)
bull Poliacuteticas de sustraccioacuten de datos incluyendo el uso de CDROM y Pendrivers (Wikiliks)
bull Crear ambientes de desarrollo de software aislados de los ambientes de produccioacuten (operaciones de la empresa) y de prueba Crear ambientes de prueba con participacioacuten funcional
bull Crear protocolos de procesos de cambio (implantacioacuten de sistemas actualizacioacuten de software incluidos los sistemas operativos) que incluyan respaldo total de programas y datos a modo espejo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 36
Seguridad Informaacutetica a Nivel de Usuarios
Vulnerabilidad
bull En un sistema informaacutetico lo que queremos proteger son sus activos es decir los recursos que forman parte del sistema y que podemos agrupar enbull - Hardware - Software
bull - Datos - Otros
bull Los mas criacuteticos son los datos el hardware y el software Es decir los datos que estaacuten almacenados en el hardware y que son procesados por las aplicaciones software
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 37
Vulnerabilidad
bull Es la debilidad de cualquier tipo que compromete la seguridad del sistema informaacutetico
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 38
Disentildeobull Debilidad en el disentildeo de protocolos utilizados en las redes
bull Poliacuteticas de seguridad deficientes e inexistentes
Implementacioacuten
bull Errores de programacioacuten
bull Existencia de ldquopuertas traserasrdquo en los sistemas informaacuteticos
bull Descuido de los fabricantes
Uso
bull Mala configuracioacuten de los sistemas informaacuteticos
bull Desconocimiento y falta de sensibilizacioacuten de los usuarios y de los responsables de informaacutetica
bull Disponibilidad de herramientas que facilitan los ataques
bull Limitacioacuten gubernamental de tecnologiacuteas de seguridad
Vulnerabilidades conocidas
bull Firewall
bull Antivirus
bull Malware
bull Antispy
bull Protocolos de encriptacioacuten
bull Firmas digitales
bull Monitoreo de redes (Comunity Manager)
Consisten en ataques
intercepciones de datos y enviacuteo de
informacioacuten usurpando identidad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 39
Vulnerabilidades
bull Ataques contra el flujo de la informacioacuten FLUJO NORMAL
Los mensajes en una red se enviacutean a partir de un emisor a uno o varios receptores
El atacante es un tercer elemento en la realidad existen millones de elementos atacantesintencionales o accidentales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 40
Emisor Receptor
Atacante
bull INTERRUPCIONbull El mensaje no puede llegar a su destino un recurso del sistema es destruido o
temporalmente inutilizado
bull Este es un ataque contra la Disponibilidad
bull Ejemplos Destruccioacuten de una pieza de hardware cortar los medios de comunicacioacuten o deshabilitar los sistemas de administracioacuten de archivos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 41
Vulnerabilidades
Emisor
Atacante
Receptor
Vulnerabilidades
bull INTERCEPCIONbull Una persona computadora o programa sin autorizacioacuten logra el acceso a un
recurso controlado
bull Es un ataque contra la Confidencialidad
bull Ejemplos Escuchas electroacutenicos copias iliacutecitas de programas o datos escalamiento de privilegios
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 42
Emisor
Atacante
Receptor
Vulnerabilidades
bull MODIFICACIONbull La persona sin autorizacioacuten ademaacutes de lograr el acceso modifica el mensaje
bull Este es un ataque contra la Integridad
bull Ejemplos Alterar la informacioacuten que se transmite desde una base de datos modificar los mensajes entre programas para que se comporten diferente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 43
bull FABRICACIONbull Una persona sin autorizacioacuten inserta objetos falsos en el sistemabull Es un ataque contra la Autenticidadbull Ejemplos Suplantacioacuten de identidades robo de sesiones robo de contrasentildeas
robo de direcciones IP etcbull Es muy difiacutecil estar seguro de quieacuten esta al otro lado de la liacutenea
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 44
Vulnerabilidades
Emisor
Atacante
Receptor
iquestQuienes Atacan los Sistemas
Gobiernos Extranjeros
Espiacuteas industriales o poliacuteticos
Criminales
Empleados descontentos y abusos internos
Adolescentes sin nada que hacer
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 45
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 46
Estado del ataque Ejemplo de Acciones
1-Buacutesqueda de Ingreso Correr un scanner de puertos
2-Penetracioacuten Explorar un sistema sin parches de seguridad
3-Elevacioacuten de Privilegios Lograr cuenta de Administrador
5-Enmascaramiento Borrado de rastros del ingreso y ataque
4-Ataque en si mismo Robo de datos destruccioacuten del sitio web etc
INTRUSO
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 47
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 48
Actuacioacuten del Criminal
bull Se requieren talentos especiales
bull El fraude ha crecido gracias a la aparicioacuten de las computadoras
Mitos
bull Dinero
bull Satisfaccioacuten (egocentrismo)
bull Ideologiacutea
bull Psicosis
Motivaciones personales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 49
bull Ambiente de trabajo
bull Prestaciones
bull Nivel de confianza interpersonal
bull Eacutetica ambiental
bull Nivel de stress
bull AMBIENTE DE CONTROL INTERNO
Motivaciones ambientales
Ethical Hacking
Es una intrusioacuten eacutetica es la aplicacioacuten de herramientas de intrusioacuten penetracioacuten robo personificacioacuten y negacioacuten de servicio llevado a cabo por hackers eacuteticos es decir personas con la experiencia y conocimiento suficiente para llevar a cabo estas pruebas en nombre de la organizacioacuten es decir de manera legal y prevista para determinar el nivel de seguridad de una red de equipos o servicios (incluido el aspecto de ingenieriacutea social)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 50
Ethical Hacking
bull al conocer el nivel de seguridad que se tiene en nuestra organizacioacuten es mucho maacutes sencillo no simple el tomar medidas que puedan subsanar estas deficienciasiquestPor queacute es
Importante
bull No al usar las armas que el enemigo usa es maacutes factible que podamos determinar el nivel de riesgo y por tanto la respuesta que debemos dar ante un ataque vieacutendolo como analogiacutea meacutedica es como cuando nos vacunan pues nos inoculan una versioacuten del virus del cual nos quieren hacer inmunes
iquestNo es contraproducente
bull Al contratar un servicio o realizarlo de manera interna estamos confiando en la eacutetica profesional de quien evaluacutea por lo que siacute siempre llevamos un riesgo pero se establece un contrato de buena fe hacieacutendolo suficientemente fiable (asegurando)iquestEs fiable
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 51
Ejemplos de Criacutemenes Electroacutenicos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 52
Ataque en 1986 de alemanes trabajando para la KGB contra sistemas estrateacutegicos de EEUU (Clifford Stoll Cuckooacutes egg)
El gusano Morris que se propagoacute por internet en 1988
causando un problema de DoS La causa fue la interrupcioacuten
causada por un programa escrito por Robert Tappan Morris
414 Gang enviacutea ataques contra los registros meacutedicos del
hospital para enfermos de caacutencer Sloan-Kettering
Ataques de Kevin Mitnick 1989-1996
Penetracioacuten de la red de Microsoft en octubre de 2000
por un cracker que ganoacute acceso a programas en desarrollo
Esparcimiento del Love Letter difundido por Onel Guzmaacuten en
Filipinas
53
DDoS contra Yahoo Amazon y Zdnet
Muacuteltiples problemas por virus desde
entonces
Target (Robo de informacioacuten de clientes
Identidad y datos financieros)
Juegos del Hambre
Ataque a Sony (Cyberterrorismo) y la
Respuesta con el apagoacuten de internet a
Korea del Norte
Carnabank (Europa oriental europa
occidental EEUU Panamaacute)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
Ejemplos de Criacutemenes Electroacutenicos
Algunas Clases de Ataques
Negacioacuten de Servicio (DoS)
Robo de contrasentildeas
Robo de identidad
Ingenieriacutea social
Defacement
FraudePirateriacutea de
softwareDumpster
divingCoacutedigo
MaliciosoIP spoofing
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 54
Algunas Clases de Ataques
EspionajeDestruccioacuten o alteracioacuten de informacioacuten
Uso de scripts de ataque
desarrolladosPhishing
Ciber -Terrorismo
War DialingWar
DrivingWalkingWar Chalking
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 55
El Caso Carbanak 1MMMUS$
La banda delictiva ciberneacutetica CARBANAK roba mil millones de doacutelares de 100 instituciones financieras en todo el mundo Kaspersky Lab la INTERPOL EUROPOL y autoridades de diferentes paiacuteses han unido sus fuerzas para dejar al descubierto el complot delictivo de un robo ciberneacutetico sin precedentes Hasta mil millones de doacutelares americanos fueron robados en cerca de dos antildeos de instituciones financieras en todo el mundo Los expertos informan que la responsabilidad del robo recae en una banda multinacional de ciberdelincuentesde Rusia Ucrania y otras partes de Europa asiacute como de China
La banda CARBANAK responsable del robo ciberneacutetico utilizoacute teacutecnicas extraiacutedas del arsenal de los ataques selectivos El complot marca el inicio de una nueva etapa en la evolucioacuten de la actividad de delincuencia ciberneacutetica donde usuarios maliciosos roban dinero directamente de los bancos y evitan concentrar sus ataques en los usuarios finales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 56
Comunicado de prensa 160215 - Karpersky
5705062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
MALWARE
El malware es un tipo de software que tiene como objetivo infiltrarse o dantildear un ordenador sistema de informacioacuten sin el consentimiento de su propietario
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 58
POPUP
bull Un pop-up es un tipo de ventana web que aparece delante de la ventana de un navegador al visitar una paacutegina web
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 59
VOLVER
ADWARE
bull Un programa de clase adware es cualquier programa que automaacuteticamente muestra publicidad web al usuario durante su instalacioacuten o durante su uso para generar lucro a sus autores
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 60
SPAM
bull Se llama spam correo basura a los mensajes no solicitados no deseados o de remitente no conocido habitualmente de tipo publicitario generalmente enviados
en grandes cantidades que perjudican al receptor
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 61
Bomba Loacutegica
Son programas informaacuteticos que se instala en un ordenador y permanece oculto hasta cumplirse una o maacutes condiciones preprogramadas para en ese momento ejecutar una accioacuten
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 62
volver
VIRUS DE MACROS
bull Es una secuencia de oacuterdenes de teclado y ratoacuten asignadas a una sola tecla Los virus de macros afectan a archivos y plantillas que los contienen hacieacutendose pasar por una macro y no actuaraacuten hasta que el archivo se abra o utilice
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 63
VOLVER
VIRUS RESIDENTES
bull Se colocan automaacuteticamente en la memoria RAM del ordenador De este modo pueden controlar e interceptar todas las operaciones llevadas a cabo por el sistema operativo infectando todos aquellos ficheros yo programas que sean ejecutados abiertos cerrados renombrados copiados etc
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 64
VIRUS DE ENLACE
bull Modifican las direcciones que permiten a nivel interno acceder a cada uno de los archivos existentes y como consecuencia no es posible localizarlos y trabajar con ellos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 65
VOLVER
VIRUS MUTANTES
bull Son virus que mutan es decir x Debido a estas mutaciones cada generacioacuten de virus es diferente a la versioacuten anterior dificultando asiacute su deteccioacuten y eliminacioacuten
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 66
VIRUS DE BOOT
bull Se activan en el momento en el que se arranca el ordenador desde un disco infectado ya sea desde el disco duro o desde una memoria USB
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 67
VOLVER
VIRUS DE PROGRAMA
bull Comuacutenmente infectan archivos con extensiones EXE COM OVL DRV BIN DLL y SYS
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 68
VOLVER
VIRUS DE SOBREESCRITURA
bull Sobre-escriben en el interior de los archivos atacados haciendo que se pierda el contenido de los mismos
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 69
Ataques de Seguridad
bull Spyware Es un software de computadoraque al instalarse intercepta o toma controlparcial de la interaccioacuten de lacomputadora y el usuario esto sin que elmismo se de cuenta Estos programaspueden recolectar diferentes tipos deinformacioacuten de los usuarios asiacute comoinstalar software adicional sin elconsentimiento de los mismos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 70
71
Herramientas de Seguridad
bull Gusano Es un programa de computadora quepuede replicarse a si mismo utiliza la red paraenviar copias de si mismo a otros nodos y lopuede hacer sin la intervencioacuten del usuario
A diferencia de los ldquovirusrdquo los gusanos nonecesitan estar amarrados a un programa y sufuncioacuten es principalmente dantildear la red (ejdesempentildeo) mientras que los virus dantildeanarchivos en computadoras
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
72
Ataques de Seguridad
bull Caballo de Troya Es una programa que seinstala bajo la creencia de que se estainstalando alguna otra cosa Los troyanosson programas muy utilizados parainstalar programas tipo ldquobackdoorsrdquo quepermiten el acceso no autorizado a lacomputadora atacada un ejemplo deprogramas tipo backdoor son losKeyloogers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
73
Ataques de Seguridad
bull DoS Denial of service- Ataques quehacen indisponible un servicio a losusuarios
bull DDoS Son conocidos como DNSBackbone Distributed Denial ofServices ndash Ataques tienen comoblanco los servidores raiacutez DNS por lotanto afectan uno de los pilares delInternet los nombres de los dominios
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
74
Ataques de Seguridad
bull Footprinting Teacutecnica utilizada para reunir informacioacuten acerca de sistemas computacionales y las entidades a las que pertenece algunos ejemplos son
- Domain queries
- Network queries
- Organizational queries
- TCP scans
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
75
Ataques de Seguridad
bull Fingerprinting Tambieacuten es conocidocomo TCPIP stack fingerprinting y esutilizado para determinar que sistemaoperativo utiliza alguacuten blanco en la redExiste dos tipos de fingerprinting
- Pasivo- Activo
NMAP es una herramienta que utilizafingerprinting activo para mapearpuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
76
Ataques de Seguridad
bull Escaneo de puertos El escaneo depuertos se basa en el FingerprintingActivo es decir transmite y recibesentildeales como ICMP TELNET SNMPdesde un blanco determinado en lared esto con el fin de obtenerinformacioacuten de dicho blanco en estecaso informacioacuten acerca de suspuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
77
Ataques de Seguridad
bull Sniffing Para llevar a cabo el sniffing esnecesario contar con un ldquopacket snifferrdquoque puede ser software instalado en unacomputadora o un dispositivoindependiente (appliance) estedispositivo es utilizado para interceptar yregistrar traacutefico que pasa a traveacutes de unared o de un segmento de la misma(Puede ser de una red ethernet owireless)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
78
Ataques de Seguridad
bull Spoofing Los ataques tipo spoofing sonaquellos en los que una persona oprograma logra hacerse pasar por otrafalsificando informacioacuten o utilizando laingenieriacutea algunos ataques tipo spoofingson los siguientes
- Falsificacioacuten de direccioacuten de email
- Falsificacioacuten de ID de llamadas telefoacutenicas
- Falsificacioacuten de sitios de internet (phishing)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
79
Ataques de Seguridad
bull Phishing Es el uso de teacutecnicas deingenieriacutea social con la finalidad deadquirir de manera fraudulentainformacioacuten confidencial comonombres de usuarios contrasentildeasinformacioacuten de tarjetas de creacutedito
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
80
Ataques de Seguridad
bull Ingenieriacutea Social Se refiere a unacoleccioacuten de teacutecnicas utilizadas paramanipular a las personas para querealicen alguna accioacuten o divulgueninformacioacuten confidencial
Algunos ingenieros sociales notablesson
- Kevin Mitnik
- Frank Abagnale
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
Ingenieriacutea Social
Es el conjunto de meacutetodos y praacutecticas usados para obtener informacioacuten de usuarios legiacutetimos y con la informacioacuten obtenida lograr acceso a sistemas protegidos siendo esta praacutectica de uso comuacuten entre piratas informaacuteticos y delincuentes computacionales
Coacutemo me afecta Al no validar las referencias o no seguir el protocolo de seguridad adecuado para divulgar contrasentildeas o cualquier otra informacioacuten sensible podemos ser coacutemplices de un crimen Meacutexico ha acordado con organismos internacionales la homologacioacuten yo adecuacioacuten de coacutedigos penales para que estos delitos sean perseguidos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 81
Ingenieriacutea Social
Coacutemo puedo saber si estoy siendo viacutectima de un ingeniero social Muy simple cuando alguien nos pide alguacuten tipo de informacioacuten privilegiada y esta persona es insistente cuando le requerimos seguir un protocolo para validar su intencioacuten es altamente probable que estemos siendo viacutectimas de un intento de robo de informacioacuten por un ingeniero socialhacker
Coacutemo puedo evitarlo Sencillo si no confiamos en la persona que nos solicita los datos (supongamos un teacutecnico de soporte de nuestro lugar de trabajo) podemos pedirle que nos deje sus datos y comunicarnos con el 10 minutos despueacutes de validar que la peticioacuten es legiacutetima es decir soacutelo sigamos los protocolos que existen en el trabajo y crear los propios en casa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 82
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra los Sistemas que Utilizan Tecnologiacuteas de Informacioacuten
bull Artiacuteculo 6 Acceso indebido
bull Artiacuteculo 7 Sabotaje o dantildeo a sistemas
bull Artiacuteculo 8 Favorecimiento culposo del sabotaje o dantildeo
bull Artiacuteculo 9 Acceso indebido o sabotaje a sistemas protegidos
bull Artiacuteculo 10 Posesioacuten de equipos o prestacioacuten de servicios de sabotaje
bull Artiacuteculo 11 Espionaje informaacutetico
bull Artiacuteculo 12 Falsificacioacuten de documentos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 83
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Propiedad
bull Artiacuteculo 13 Hurto
bull Artiacuteculo 14 Fraude
bull Artiacuteculo 15 Obtencioacuten indebida de bienes o servicios
bull Artiacuteculo 16 Manejo fraudulento de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 17 Apropiacioacuten de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 18 Provisioacuten indebida de bienes o servicios
bull Artiacuteculo 19 Posesioacuten de equipo para falsificaciones
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 84
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Privacidad de las Personas y de las Comunicaciones
bullArtiacuteculo 20 Violacioacuten de la privacidad de la data o informacioacuten de caraacutecter personal
bullArtiacuteculo 21 Violacioacuten de la privacidad de las comunicaciones
bullArtiacuteculo 22 Revelacioacuten indebida de data o informacioacuten de caraacutecter personal
De los Delitos Contra Nintildeos Nintildeas o Adolescentes
bullArtiacuteculo 23 Difusioacuten o exhibicioacuten de material pornograacutefico
bullArtiacuteculo 24 Exhibicioacuten pornograacutefica de nintildeos o adolescentes
De los Delitos Contra el Orden Econoacutemico
bullArtiacuteculo 25 Apropiacioacuten de propiedad intelectual
bullArtiacuteculo 26 Oferta engantildeosa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 85
Plan de Contingencia Continuidad Operacional
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 86
Plan de Contingencia
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 87
ldquoConjunto de Normas y Procedimientos documentadosy comunicados que tienen por objetivo minimizar los riesgos informaacuteticos mas probablesrdquo
InvolucrabullUso de herramientas
bullCumplimiento de Tareas por
parte de personas
Plan de Contingencia
Consta de tres subplanes independientes
bull Plan de Respaldo crear y conservar en un lugar seguro copias de seguridad de la informacioacuten
bull Pla de Emergencia queacute medidas tomar cuando se estaacute materializando una amenaza o cuando acaba de producirse
bull Plan de Recuperacioacuten medidas que se aplicaran cuando se ha producido un desastre El objetivo es evaluar el impacto y regresar lo antes posible
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 88
Plan de Contingencia
En la elaboracioacuten de este plan no se puede dejar por fuera a los miembros de la organizacioacuten el cual debe estar informado y entrenado para actuar en las funciones que le hayan sido encomendadas en caso de producirse una amenaza o impacto
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 89
Continuidad Operacional
Business Continuity Planning (Plan de Continuidad de negocios)
bull Plan Baacutesico
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Coldsite)
bull Plan Intermedio
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan Alto
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan de respuesta y continuidad de negocios alternativo (sin asistencia de sistemas)
bull Stress Testing al Plan
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 90
El Stress Testing
bull Poner a prueba el planbull Revise y evalueacute
bull Respaldosbull Oportunidad integridad y funcionalidadbull Custodia y transporte
bull Cold y Hotsitebull Funcionalidad accesibilidad y compatibilidadbull Actualizacioacuten oportuna (hotsite)
bull Personalbull Roles y funcionesbull Accesibilidad (contactos y comunicaciones)
bull Simulacioacuten de cataacutestrofesbull Sin previo aviso el director encargado del BCP se presenta en el centro de computo
cronometro en mano y baja la cuchilla de electricidad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 91
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de Lehman Brothers
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el WorldTrade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehman se desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del World Trade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehman teniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 92
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de LehmanBrothers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 93
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el World Trade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehmanse desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 94
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del WorldTrade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehmanteniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 95
La Contingencia Manual la Uacuteltima Frontera
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 96
05062015 97
DATOS BAacuteSICOS
Responsable A Nivel Corporativo Responsable(s) A Nivel Regional
PROVEEDOR (ES)
Origen Responsable Insumo (s)
RESULTADOS
Normas y Procedimientos Asociados Fecha uacuteltima revisioacuten Sistemas Aplicaciones Asociadas
Proceso
CALIFICACIOacuteN DE CONTROLES DE ENTRADA
Actividad
RECOMENDACIONES
Procesamiento
Automaacutetico (A)Manual (M)
Frecuencia
Adiestramiento Proceso Sistema N y P Otros
Negocio Area Localidad
Responsable
Nombre CargoNombre Cargo
NOMBRE
ELABORADO POR
CARGO FIRMA
Calidad de Data (B) Buena (R) Regular (M) Mala Oportunidad (AT) A Tiempo (R) Retrasada Revisioacuten Aprobacioacuten (S) Si (N) NoLEYENDA
Calificacioacuten (F) Fuerte (M) Medio (B) Bajo
DescripcioacutenResponsableDescripcioacuten
Tarea
Descripcioacuten
FRECUENCIA DE LA TAREA Diaria (D) Semanal (S) Mensual (M) Trimestral (T) Anual (A) Ocasional (O)
Soportes Recepcioacuten (P) Papel (E) Electroacutenico Archivo (S) Si (N) No Soportes Enviacuteo (S) Si (N) No Backup (S) Si (N) No
Producto (s) Cliente ReceptorControl
de salida
SoportesFrecuencia
Recepcioacuten Backup
DOCUMENTOS SISTEMAS ASOCIADOS A LOS CONTROLES
CALIFICACIOacuteN DE CONTROLES (por parte del Cliente Receptor)
Revisioacuten
Aprobacioacuten
Revisioacuten
AprobacioacutenTipo de control
Procesamiento
Automaacutetico (A)Manual (M)
Control
De EntradaTipo de control
Soportes
Recepcioacuten Archivo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 98
DATOS BAacuteSICOS
TareaActividad
Proceso Responsable del Proceso
Fecha de Elaboracioacuten 2015
Accioacuten (es) Responsable (s)
OBSERVACIONES ELABORADO POR
FIRMA
NOMBRE
Plan de recuperacioacuten y Reactivacioacuten de Finanzas
Recomendaciones Acciones
La Cadena de Valor de una Organizacioacuten de Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 99
ASESORAR EN CONTROLES DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR DELEGACIONES FINANCIERAS
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
CONTROLAR SEGURIDAD SISTEMA
OPERACIONALES ADMINISTRATIVOS Y OTROS
SISTEMAS FINANCIEROS
DESARROLLAR CONTROLES
DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR Y DESARROLLAR PLAN INTEGRAL DE CONTROL ( PIC )
Asesorar en controles de procesos normas y
Procedimientos
Administrar delegaciones financieras
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
Controlar seguridad sistema
operacionales administrativos y otros
sistemas financieros
Desarrollar
controles de
procesos
normas y
procedimientos
Administrar y desarrollar plan integral de control ( PIC )
Seguridad Informaacutetica a Nivel de Usuarios
bull Los usuarios se acostumbran a usar la tecnologiacutea sin saber como funciona o de los riesgos que pueden correr
bull Son el punto de entrada de muchos de los problemas croacutenicos
bull Son ldquoEl eslaboacuten maacutes deacutebilrdquo en la cadena de seguridad
Usuarios comunes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 32
Seguridad Informaacutetica a Nivel de Usuarios
bull Principio del MENOR PRIVILEGIO POSIBLE
bull EDUCAR AL USUARIO
Dos enfoques para
controlarlos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 33
Seguridad Informaacutetica a Nivel de Usuarios
Principio del MENOR PRIVILEGIO POSIBLE Implica seguridad de
acceso al sistema (usuario password perfiles de usuario de
manera transaccional ndash seguridad por posicioacuten workflow)
bull Reducir la capacidad de accioacuten del usuario sobre los sistemas
bull Objetivo Lograr el menor dantildeo posible en caso de incidentes
Administracioacuten de privilegios
bull Usuarios uacutenicos e intransferibles
bull Procesos de desactivacioacuten de cuentas y activacioacuten del reemplazo (en periacuteodos vacacionales y de reposos)
bull Administracioacuten de claves de acceso
bull Alfanumeacutericas + caracteres especiales + mayuacutesculas minuacutesculas
bull Caducidad
bull Bloqueo por intentos fallidos
bull Prohibicioacuten de palabras y datos de uso comuacuten o asociadas al usuario
bull Reseteo de clave de forma automaacutetica con preguntas de desafiacuteo (pe usando datos encriptados que solo el usuario conoce como fecha de ingreso a la empresa)
bull Perfil de usuario
bull De acuerdo a la actividad y delegacioacuten de autoridad de acuerdo a su posicioacuten y responsabilidades
bull Esquemas de proteccioacuten de datos e informacioacuten (Privado Confidencial y Estrictamente Privado y Confidencial) seguacuten la posicioacuten y actividades (previendo delincuencia comuacuten o DDOO)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 34
Seguridad Informaacutetica a Nivel de Usuarios
EDUCAR AL USUARIO
bull Documentar y publicar todas las normas y procedimientos asociados
bull Generar una cultura de seguridad El usuario ayuda a reforzar y aplicar los mecanismos de seguridad
bull Objetivo Reducir el nuacutemero de incidentes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 35
Adicionales a los que ya
se mostroacute para
usuarios comunes se
debe
bull Seguridad de acceso a las instalaciones (aacuterea de desarrollo y aacuterea de servidores o main frame)
bull Poliacutetica de respaldo de informacioacuten y programas que incluyan backups in situ outside a modo copia espejo e incremental (solo variaciones)
bull Poliacuteticas de sustraccioacuten de datos incluyendo el uso de CDROM y Pendrivers (Wikiliks)
bull Crear ambientes de desarrollo de software aislados de los ambientes de produccioacuten (operaciones de la empresa) y de prueba Crear ambientes de prueba con participacioacuten funcional
bull Crear protocolos de procesos de cambio (implantacioacuten de sistemas actualizacioacuten de software incluidos los sistemas operativos) que incluyan respaldo total de programas y datos a modo espejo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 36
Seguridad Informaacutetica a Nivel de Usuarios
Vulnerabilidad
bull En un sistema informaacutetico lo que queremos proteger son sus activos es decir los recursos que forman parte del sistema y que podemos agrupar enbull - Hardware - Software
bull - Datos - Otros
bull Los mas criacuteticos son los datos el hardware y el software Es decir los datos que estaacuten almacenados en el hardware y que son procesados por las aplicaciones software
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 37
Vulnerabilidad
bull Es la debilidad de cualquier tipo que compromete la seguridad del sistema informaacutetico
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 38
Disentildeobull Debilidad en el disentildeo de protocolos utilizados en las redes
bull Poliacuteticas de seguridad deficientes e inexistentes
Implementacioacuten
bull Errores de programacioacuten
bull Existencia de ldquopuertas traserasrdquo en los sistemas informaacuteticos
bull Descuido de los fabricantes
Uso
bull Mala configuracioacuten de los sistemas informaacuteticos
bull Desconocimiento y falta de sensibilizacioacuten de los usuarios y de los responsables de informaacutetica
bull Disponibilidad de herramientas que facilitan los ataques
bull Limitacioacuten gubernamental de tecnologiacuteas de seguridad
Vulnerabilidades conocidas
bull Firewall
bull Antivirus
bull Malware
bull Antispy
bull Protocolos de encriptacioacuten
bull Firmas digitales
bull Monitoreo de redes (Comunity Manager)
Consisten en ataques
intercepciones de datos y enviacuteo de
informacioacuten usurpando identidad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 39
Vulnerabilidades
bull Ataques contra el flujo de la informacioacuten FLUJO NORMAL
Los mensajes en una red se enviacutean a partir de un emisor a uno o varios receptores
El atacante es un tercer elemento en la realidad existen millones de elementos atacantesintencionales o accidentales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 40
Emisor Receptor
Atacante
bull INTERRUPCIONbull El mensaje no puede llegar a su destino un recurso del sistema es destruido o
temporalmente inutilizado
bull Este es un ataque contra la Disponibilidad
bull Ejemplos Destruccioacuten de una pieza de hardware cortar los medios de comunicacioacuten o deshabilitar los sistemas de administracioacuten de archivos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 41
Vulnerabilidades
Emisor
Atacante
Receptor
Vulnerabilidades
bull INTERCEPCIONbull Una persona computadora o programa sin autorizacioacuten logra el acceso a un
recurso controlado
bull Es un ataque contra la Confidencialidad
bull Ejemplos Escuchas electroacutenicos copias iliacutecitas de programas o datos escalamiento de privilegios
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 42
Emisor
Atacante
Receptor
Vulnerabilidades
bull MODIFICACIONbull La persona sin autorizacioacuten ademaacutes de lograr el acceso modifica el mensaje
bull Este es un ataque contra la Integridad
bull Ejemplos Alterar la informacioacuten que se transmite desde una base de datos modificar los mensajes entre programas para que se comporten diferente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 43
bull FABRICACIONbull Una persona sin autorizacioacuten inserta objetos falsos en el sistemabull Es un ataque contra la Autenticidadbull Ejemplos Suplantacioacuten de identidades robo de sesiones robo de contrasentildeas
robo de direcciones IP etcbull Es muy difiacutecil estar seguro de quieacuten esta al otro lado de la liacutenea
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 44
Vulnerabilidades
Emisor
Atacante
Receptor
iquestQuienes Atacan los Sistemas
Gobiernos Extranjeros
Espiacuteas industriales o poliacuteticos
Criminales
Empleados descontentos y abusos internos
Adolescentes sin nada que hacer
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 45
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 46
Estado del ataque Ejemplo de Acciones
1-Buacutesqueda de Ingreso Correr un scanner de puertos
2-Penetracioacuten Explorar un sistema sin parches de seguridad
3-Elevacioacuten de Privilegios Lograr cuenta de Administrador
5-Enmascaramiento Borrado de rastros del ingreso y ataque
4-Ataque en si mismo Robo de datos destruccioacuten del sitio web etc
INTRUSO
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 47
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 48
Actuacioacuten del Criminal
bull Se requieren talentos especiales
bull El fraude ha crecido gracias a la aparicioacuten de las computadoras
Mitos
bull Dinero
bull Satisfaccioacuten (egocentrismo)
bull Ideologiacutea
bull Psicosis
Motivaciones personales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 49
bull Ambiente de trabajo
bull Prestaciones
bull Nivel de confianza interpersonal
bull Eacutetica ambiental
bull Nivel de stress
bull AMBIENTE DE CONTROL INTERNO
Motivaciones ambientales
Ethical Hacking
Es una intrusioacuten eacutetica es la aplicacioacuten de herramientas de intrusioacuten penetracioacuten robo personificacioacuten y negacioacuten de servicio llevado a cabo por hackers eacuteticos es decir personas con la experiencia y conocimiento suficiente para llevar a cabo estas pruebas en nombre de la organizacioacuten es decir de manera legal y prevista para determinar el nivel de seguridad de una red de equipos o servicios (incluido el aspecto de ingenieriacutea social)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 50
Ethical Hacking
bull al conocer el nivel de seguridad que se tiene en nuestra organizacioacuten es mucho maacutes sencillo no simple el tomar medidas que puedan subsanar estas deficienciasiquestPor queacute es
Importante
bull No al usar las armas que el enemigo usa es maacutes factible que podamos determinar el nivel de riesgo y por tanto la respuesta que debemos dar ante un ataque vieacutendolo como analogiacutea meacutedica es como cuando nos vacunan pues nos inoculan una versioacuten del virus del cual nos quieren hacer inmunes
iquestNo es contraproducente
bull Al contratar un servicio o realizarlo de manera interna estamos confiando en la eacutetica profesional de quien evaluacutea por lo que siacute siempre llevamos un riesgo pero se establece un contrato de buena fe hacieacutendolo suficientemente fiable (asegurando)iquestEs fiable
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 51
Ejemplos de Criacutemenes Electroacutenicos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 52
Ataque en 1986 de alemanes trabajando para la KGB contra sistemas estrateacutegicos de EEUU (Clifford Stoll Cuckooacutes egg)
El gusano Morris que se propagoacute por internet en 1988
causando un problema de DoS La causa fue la interrupcioacuten
causada por un programa escrito por Robert Tappan Morris
414 Gang enviacutea ataques contra los registros meacutedicos del
hospital para enfermos de caacutencer Sloan-Kettering
Ataques de Kevin Mitnick 1989-1996
Penetracioacuten de la red de Microsoft en octubre de 2000
por un cracker que ganoacute acceso a programas en desarrollo
Esparcimiento del Love Letter difundido por Onel Guzmaacuten en
Filipinas
53
DDoS contra Yahoo Amazon y Zdnet
Muacuteltiples problemas por virus desde
entonces
Target (Robo de informacioacuten de clientes
Identidad y datos financieros)
Juegos del Hambre
Ataque a Sony (Cyberterrorismo) y la
Respuesta con el apagoacuten de internet a
Korea del Norte
Carnabank (Europa oriental europa
occidental EEUU Panamaacute)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
Ejemplos de Criacutemenes Electroacutenicos
Algunas Clases de Ataques
Negacioacuten de Servicio (DoS)
Robo de contrasentildeas
Robo de identidad
Ingenieriacutea social
Defacement
FraudePirateriacutea de
softwareDumpster
divingCoacutedigo
MaliciosoIP spoofing
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 54
Algunas Clases de Ataques
EspionajeDestruccioacuten o alteracioacuten de informacioacuten
Uso de scripts de ataque
desarrolladosPhishing
Ciber -Terrorismo
War DialingWar
DrivingWalkingWar Chalking
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 55
El Caso Carbanak 1MMMUS$
La banda delictiva ciberneacutetica CARBANAK roba mil millones de doacutelares de 100 instituciones financieras en todo el mundo Kaspersky Lab la INTERPOL EUROPOL y autoridades de diferentes paiacuteses han unido sus fuerzas para dejar al descubierto el complot delictivo de un robo ciberneacutetico sin precedentes Hasta mil millones de doacutelares americanos fueron robados en cerca de dos antildeos de instituciones financieras en todo el mundo Los expertos informan que la responsabilidad del robo recae en una banda multinacional de ciberdelincuentesde Rusia Ucrania y otras partes de Europa asiacute como de China
La banda CARBANAK responsable del robo ciberneacutetico utilizoacute teacutecnicas extraiacutedas del arsenal de los ataques selectivos El complot marca el inicio de una nueva etapa en la evolucioacuten de la actividad de delincuencia ciberneacutetica donde usuarios maliciosos roban dinero directamente de los bancos y evitan concentrar sus ataques en los usuarios finales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 56
Comunicado de prensa 160215 - Karpersky
5705062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
MALWARE
El malware es un tipo de software que tiene como objetivo infiltrarse o dantildear un ordenador sistema de informacioacuten sin el consentimiento de su propietario
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 58
POPUP
bull Un pop-up es un tipo de ventana web que aparece delante de la ventana de un navegador al visitar una paacutegina web
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 59
VOLVER
ADWARE
bull Un programa de clase adware es cualquier programa que automaacuteticamente muestra publicidad web al usuario durante su instalacioacuten o durante su uso para generar lucro a sus autores
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 60
SPAM
bull Se llama spam correo basura a los mensajes no solicitados no deseados o de remitente no conocido habitualmente de tipo publicitario generalmente enviados
en grandes cantidades que perjudican al receptor
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 61
Bomba Loacutegica
Son programas informaacuteticos que se instala en un ordenador y permanece oculto hasta cumplirse una o maacutes condiciones preprogramadas para en ese momento ejecutar una accioacuten
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 62
volver
VIRUS DE MACROS
bull Es una secuencia de oacuterdenes de teclado y ratoacuten asignadas a una sola tecla Los virus de macros afectan a archivos y plantillas que los contienen hacieacutendose pasar por una macro y no actuaraacuten hasta que el archivo se abra o utilice
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 63
VOLVER
VIRUS RESIDENTES
bull Se colocan automaacuteticamente en la memoria RAM del ordenador De este modo pueden controlar e interceptar todas las operaciones llevadas a cabo por el sistema operativo infectando todos aquellos ficheros yo programas que sean ejecutados abiertos cerrados renombrados copiados etc
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 64
VIRUS DE ENLACE
bull Modifican las direcciones que permiten a nivel interno acceder a cada uno de los archivos existentes y como consecuencia no es posible localizarlos y trabajar con ellos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 65
VOLVER
VIRUS MUTANTES
bull Son virus que mutan es decir x Debido a estas mutaciones cada generacioacuten de virus es diferente a la versioacuten anterior dificultando asiacute su deteccioacuten y eliminacioacuten
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 66
VIRUS DE BOOT
bull Se activan en el momento en el que se arranca el ordenador desde un disco infectado ya sea desde el disco duro o desde una memoria USB
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 67
VOLVER
VIRUS DE PROGRAMA
bull Comuacutenmente infectan archivos con extensiones EXE COM OVL DRV BIN DLL y SYS
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 68
VOLVER
VIRUS DE SOBREESCRITURA
bull Sobre-escriben en el interior de los archivos atacados haciendo que se pierda el contenido de los mismos
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 69
Ataques de Seguridad
bull Spyware Es un software de computadoraque al instalarse intercepta o toma controlparcial de la interaccioacuten de lacomputadora y el usuario esto sin que elmismo se de cuenta Estos programaspueden recolectar diferentes tipos deinformacioacuten de los usuarios asiacute comoinstalar software adicional sin elconsentimiento de los mismos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 70
71
Herramientas de Seguridad
bull Gusano Es un programa de computadora quepuede replicarse a si mismo utiliza la red paraenviar copias de si mismo a otros nodos y lopuede hacer sin la intervencioacuten del usuario
A diferencia de los ldquovirusrdquo los gusanos nonecesitan estar amarrados a un programa y sufuncioacuten es principalmente dantildear la red (ejdesempentildeo) mientras que los virus dantildeanarchivos en computadoras
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
72
Ataques de Seguridad
bull Caballo de Troya Es una programa que seinstala bajo la creencia de que se estainstalando alguna otra cosa Los troyanosson programas muy utilizados parainstalar programas tipo ldquobackdoorsrdquo quepermiten el acceso no autorizado a lacomputadora atacada un ejemplo deprogramas tipo backdoor son losKeyloogers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
73
Ataques de Seguridad
bull DoS Denial of service- Ataques quehacen indisponible un servicio a losusuarios
bull DDoS Son conocidos como DNSBackbone Distributed Denial ofServices ndash Ataques tienen comoblanco los servidores raiacutez DNS por lotanto afectan uno de los pilares delInternet los nombres de los dominios
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
74
Ataques de Seguridad
bull Footprinting Teacutecnica utilizada para reunir informacioacuten acerca de sistemas computacionales y las entidades a las que pertenece algunos ejemplos son
- Domain queries
- Network queries
- Organizational queries
- TCP scans
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
75
Ataques de Seguridad
bull Fingerprinting Tambieacuten es conocidocomo TCPIP stack fingerprinting y esutilizado para determinar que sistemaoperativo utiliza alguacuten blanco en la redExiste dos tipos de fingerprinting
- Pasivo- Activo
NMAP es una herramienta que utilizafingerprinting activo para mapearpuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
76
Ataques de Seguridad
bull Escaneo de puertos El escaneo depuertos se basa en el FingerprintingActivo es decir transmite y recibesentildeales como ICMP TELNET SNMPdesde un blanco determinado en lared esto con el fin de obtenerinformacioacuten de dicho blanco en estecaso informacioacuten acerca de suspuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
77
Ataques de Seguridad
bull Sniffing Para llevar a cabo el sniffing esnecesario contar con un ldquopacket snifferrdquoque puede ser software instalado en unacomputadora o un dispositivoindependiente (appliance) estedispositivo es utilizado para interceptar yregistrar traacutefico que pasa a traveacutes de unared o de un segmento de la misma(Puede ser de una red ethernet owireless)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
78
Ataques de Seguridad
bull Spoofing Los ataques tipo spoofing sonaquellos en los que una persona oprograma logra hacerse pasar por otrafalsificando informacioacuten o utilizando laingenieriacutea algunos ataques tipo spoofingson los siguientes
- Falsificacioacuten de direccioacuten de email
- Falsificacioacuten de ID de llamadas telefoacutenicas
- Falsificacioacuten de sitios de internet (phishing)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
79
Ataques de Seguridad
bull Phishing Es el uso de teacutecnicas deingenieriacutea social con la finalidad deadquirir de manera fraudulentainformacioacuten confidencial comonombres de usuarios contrasentildeasinformacioacuten de tarjetas de creacutedito
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
80
Ataques de Seguridad
bull Ingenieriacutea Social Se refiere a unacoleccioacuten de teacutecnicas utilizadas paramanipular a las personas para querealicen alguna accioacuten o divulgueninformacioacuten confidencial
Algunos ingenieros sociales notablesson
- Kevin Mitnik
- Frank Abagnale
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
Ingenieriacutea Social
Es el conjunto de meacutetodos y praacutecticas usados para obtener informacioacuten de usuarios legiacutetimos y con la informacioacuten obtenida lograr acceso a sistemas protegidos siendo esta praacutectica de uso comuacuten entre piratas informaacuteticos y delincuentes computacionales
Coacutemo me afecta Al no validar las referencias o no seguir el protocolo de seguridad adecuado para divulgar contrasentildeas o cualquier otra informacioacuten sensible podemos ser coacutemplices de un crimen Meacutexico ha acordado con organismos internacionales la homologacioacuten yo adecuacioacuten de coacutedigos penales para que estos delitos sean perseguidos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 81
Ingenieriacutea Social
Coacutemo puedo saber si estoy siendo viacutectima de un ingeniero social Muy simple cuando alguien nos pide alguacuten tipo de informacioacuten privilegiada y esta persona es insistente cuando le requerimos seguir un protocolo para validar su intencioacuten es altamente probable que estemos siendo viacutectimas de un intento de robo de informacioacuten por un ingeniero socialhacker
Coacutemo puedo evitarlo Sencillo si no confiamos en la persona que nos solicita los datos (supongamos un teacutecnico de soporte de nuestro lugar de trabajo) podemos pedirle que nos deje sus datos y comunicarnos con el 10 minutos despueacutes de validar que la peticioacuten es legiacutetima es decir soacutelo sigamos los protocolos que existen en el trabajo y crear los propios en casa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 82
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra los Sistemas que Utilizan Tecnologiacuteas de Informacioacuten
bull Artiacuteculo 6 Acceso indebido
bull Artiacuteculo 7 Sabotaje o dantildeo a sistemas
bull Artiacuteculo 8 Favorecimiento culposo del sabotaje o dantildeo
bull Artiacuteculo 9 Acceso indebido o sabotaje a sistemas protegidos
bull Artiacuteculo 10 Posesioacuten de equipos o prestacioacuten de servicios de sabotaje
bull Artiacuteculo 11 Espionaje informaacutetico
bull Artiacuteculo 12 Falsificacioacuten de documentos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 83
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Propiedad
bull Artiacuteculo 13 Hurto
bull Artiacuteculo 14 Fraude
bull Artiacuteculo 15 Obtencioacuten indebida de bienes o servicios
bull Artiacuteculo 16 Manejo fraudulento de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 17 Apropiacioacuten de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 18 Provisioacuten indebida de bienes o servicios
bull Artiacuteculo 19 Posesioacuten de equipo para falsificaciones
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 84
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Privacidad de las Personas y de las Comunicaciones
bullArtiacuteculo 20 Violacioacuten de la privacidad de la data o informacioacuten de caraacutecter personal
bullArtiacuteculo 21 Violacioacuten de la privacidad de las comunicaciones
bullArtiacuteculo 22 Revelacioacuten indebida de data o informacioacuten de caraacutecter personal
De los Delitos Contra Nintildeos Nintildeas o Adolescentes
bullArtiacuteculo 23 Difusioacuten o exhibicioacuten de material pornograacutefico
bullArtiacuteculo 24 Exhibicioacuten pornograacutefica de nintildeos o adolescentes
De los Delitos Contra el Orden Econoacutemico
bullArtiacuteculo 25 Apropiacioacuten de propiedad intelectual
bullArtiacuteculo 26 Oferta engantildeosa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 85
Plan de Contingencia Continuidad Operacional
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 86
Plan de Contingencia
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 87
ldquoConjunto de Normas y Procedimientos documentadosy comunicados que tienen por objetivo minimizar los riesgos informaacuteticos mas probablesrdquo
InvolucrabullUso de herramientas
bullCumplimiento de Tareas por
parte de personas
Plan de Contingencia
Consta de tres subplanes independientes
bull Plan de Respaldo crear y conservar en un lugar seguro copias de seguridad de la informacioacuten
bull Pla de Emergencia queacute medidas tomar cuando se estaacute materializando una amenaza o cuando acaba de producirse
bull Plan de Recuperacioacuten medidas que se aplicaran cuando se ha producido un desastre El objetivo es evaluar el impacto y regresar lo antes posible
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 88
Plan de Contingencia
En la elaboracioacuten de este plan no se puede dejar por fuera a los miembros de la organizacioacuten el cual debe estar informado y entrenado para actuar en las funciones que le hayan sido encomendadas en caso de producirse una amenaza o impacto
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 89
Continuidad Operacional
Business Continuity Planning (Plan de Continuidad de negocios)
bull Plan Baacutesico
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Coldsite)
bull Plan Intermedio
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan Alto
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan de respuesta y continuidad de negocios alternativo (sin asistencia de sistemas)
bull Stress Testing al Plan
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 90
El Stress Testing
bull Poner a prueba el planbull Revise y evalueacute
bull Respaldosbull Oportunidad integridad y funcionalidadbull Custodia y transporte
bull Cold y Hotsitebull Funcionalidad accesibilidad y compatibilidadbull Actualizacioacuten oportuna (hotsite)
bull Personalbull Roles y funcionesbull Accesibilidad (contactos y comunicaciones)
bull Simulacioacuten de cataacutestrofesbull Sin previo aviso el director encargado del BCP se presenta en el centro de computo
cronometro en mano y baja la cuchilla de electricidad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 91
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de Lehman Brothers
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el WorldTrade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehman se desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del World Trade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehman teniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 92
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de LehmanBrothers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 93
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el World Trade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehmanse desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 94
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del WorldTrade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehmanteniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 95
La Contingencia Manual la Uacuteltima Frontera
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 96
05062015 97
DATOS BAacuteSICOS
Responsable A Nivel Corporativo Responsable(s) A Nivel Regional
PROVEEDOR (ES)
Origen Responsable Insumo (s)
RESULTADOS
Normas y Procedimientos Asociados Fecha uacuteltima revisioacuten Sistemas Aplicaciones Asociadas
Proceso
CALIFICACIOacuteN DE CONTROLES DE ENTRADA
Actividad
RECOMENDACIONES
Procesamiento
Automaacutetico (A)Manual (M)
Frecuencia
Adiestramiento Proceso Sistema N y P Otros
Negocio Area Localidad
Responsable
Nombre CargoNombre Cargo
NOMBRE
ELABORADO POR
CARGO FIRMA
Calidad de Data (B) Buena (R) Regular (M) Mala Oportunidad (AT) A Tiempo (R) Retrasada Revisioacuten Aprobacioacuten (S) Si (N) NoLEYENDA
Calificacioacuten (F) Fuerte (M) Medio (B) Bajo
DescripcioacutenResponsableDescripcioacuten
Tarea
Descripcioacuten
FRECUENCIA DE LA TAREA Diaria (D) Semanal (S) Mensual (M) Trimestral (T) Anual (A) Ocasional (O)
Soportes Recepcioacuten (P) Papel (E) Electroacutenico Archivo (S) Si (N) No Soportes Enviacuteo (S) Si (N) No Backup (S) Si (N) No
Producto (s) Cliente ReceptorControl
de salida
SoportesFrecuencia
Recepcioacuten Backup
DOCUMENTOS SISTEMAS ASOCIADOS A LOS CONTROLES
CALIFICACIOacuteN DE CONTROLES (por parte del Cliente Receptor)
Revisioacuten
Aprobacioacuten
Revisioacuten
AprobacioacutenTipo de control
Procesamiento
Automaacutetico (A)Manual (M)
Control
De EntradaTipo de control
Soportes
Recepcioacuten Archivo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 98
DATOS BAacuteSICOS
TareaActividad
Proceso Responsable del Proceso
Fecha de Elaboracioacuten 2015
Accioacuten (es) Responsable (s)
OBSERVACIONES ELABORADO POR
FIRMA
NOMBRE
Plan de recuperacioacuten y Reactivacioacuten de Finanzas
Recomendaciones Acciones
La Cadena de Valor de una Organizacioacuten de Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 99
ASESORAR EN CONTROLES DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR DELEGACIONES FINANCIERAS
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
CONTROLAR SEGURIDAD SISTEMA
OPERACIONALES ADMINISTRATIVOS Y OTROS
SISTEMAS FINANCIEROS
DESARROLLAR CONTROLES
DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR Y DESARROLLAR PLAN INTEGRAL DE CONTROL ( PIC )
Asesorar en controles de procesos normas y
Procedimientos
Administrar delegaciones financieras
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
Controlar seguridad sistema
operacionales administrativos y otros
sistemas financieros
Desarrollar
controles de
procesos
normas y
procedimientos
Administrar y desarrollar plan integral de control ( PIC )
Seguridad Informaacutetica a Nivel de Usuarios
bull Principio del MENOR PRIVILEGIO POSIBLE
bull EDUCAR AL USUARIO
Dos enfoques para
controlarlos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 33
Seguridad Informaacutetica a Nivel de Usuarios
Principio del MENOR PRIVILEGIO POSIBLE Implica seguridad de
acceso al sistema (usuario password perfiles de usuario de
manera transaccional ndash seguridad por posicioacuten workflow)
bull Reducir la capacidad de accioacuten del usuario sobre los sistemas
bull Objetivo Lograr el menor dantildeo posible en caso de incidentes
Administracioacuten de privilegios
bull Usuarios uacutenicos e intransferibles
bull Procesos de desactivacioacuten de cuentas y activacioacuten del reemplazo (en periacuteodos vacacionales y de reposos)
bull Administracioacuten de claves de acceso
bull Alfanumeacutericas + caracteres especiales + mayuacutesculas minuacutesculas
bull Caducidad
bull Bloqueo por intentos fallidos
bull Prohibicioacuten de palabras y datos de uso comuacuten o asociadas al usuario
bull Reseteo de clave de forma automaacutetica con preguntas de desafiacuteo (pe usando datos encriptados que solo el usuario conoce como fecha de ingreso a la empresa)
bull Perfil de usuario
bull De acuerdo a la actividad y delegacioacuten de autoridad de acuerdo a su posicioacuten y responsabilidades
bull Esquemas de proteccioacuten de datos e informacioacuten (Privado Confidencial y Estrictamente Privado y Confidencial) seguacuten la posicioacuten y actividades (previendo delincuencia comuacuten o DDOO)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 34
Seguridad Informaacutetica a Nivel de Usuarios
EDUCAR AL USUARIO
bull Documentar y publicar todas las normas y procedimientos asociados
bull Generar una cultura de seguridad El usuario ayuda a reforzar y aplicar los mecanismos de seguridad
bull Objetivo Reducir el nuacutemero de incidentes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 35
Adicionales a los que ya
se mostroacute para
usuarios comunes se
debe
bull Seguridad de acceso a las instalaciones (aacuterea de desarrollo y aacuterea de servidores o main frame)
bull Poliacutetica de respaldo de informacioacuten y programas que incluyan backups in situ outside a modo copia espejo e incremental (solo variaciones)
bull Poliacuteticas de sustraccioacuten de datos incluyendo el uso de CDROM y Pendrivers (Wikiliks)
bull Crear ambientes de desarrollo de software aislados de los ambientes de produccioacuten (operaciones de la empresa) y de prueba Crear ambientes de prueba con participacioacuten funcional
bull Crear protocolos de procesos de cambio (implantacioacuten de sistemas actualizacioacuten de software incluidos los sistemas operativos) que incluyan respaldo total de programas y datos a modo espejo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 36
Seguridad Informaacutetica a Nivel de Usuarios
Vulnerabilidad
bull En un sistema informaacutetico lo que queremos proteger son sus activos es decir los recursos que forman parte del sistema y que podemos agrupar enbull - Hardware - Software
bull - Datos - Otros
bull Los mas criacuteticos son los datos el hardware y el software Es decir los datos que estaacuten almacenados en el hardware y que son procesados por las aplicaciones software
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 37
Vulnerabilidad
bull Es la debilidad de cualquier tipo que compromete la seguridad del sistema informaacutetico
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 38
Disentildeobull Debilidad en el disentildeo de protocolos utilizados en las redes
bull Poliacuteticas de seguridad deficientes e inexistentes
Implementacioacuten
bull Errores de programacioacuten
bull Existencia de ldquopuertas traserasrdquo en los sistemas informaacuteticos
bull Descuido de los fabricantes
Uso
bull Mala configuracioacuten de los sistemas informaacuteticos
bull Desconocimiento y falta de sensibilizacioacuten de los usuarios y de los responsables de informaacutetica
bull Disponibilidad de herramientas que facilitan los ataques
bull Limitacioacuten gubernamental de tecnologiacuteas de seguridad
Vulnerabilidades conocidas
bull Firewall
bull Antivirus
bull Malware
bull Antispy
bull Protocolos de encriptacioacuten
bull Firmas digitales
bull Monitoreo de redes (Comunity Manager)
Consisten en ataques
intercepciones de datos y enviacuteo de
informacioacuten usurpando identidad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 39
Vulnerabilidades
bull Ataques contra el flujo de la informacioacuten FLUJO NORMAL
Los mensajes en una red se enviacutean a partir de un emisor a uno o varios receptores
El atacante es un tercer elemento en la realidad existen millones de elementos atacantesintencionales o accidentales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 40
Emisor Receptor
Atacante
bull INTERRUPCIONbull El mensaje no puede llegar a su destino un recurso del sistema es destruido o
temporalmente inutilizado
bull Este es un ataque contra la Disponibilidad
bull Ejemplos Destruccioacuten de una pieza de hardware cortar los medios de comunicacioacuten o deshabilitar los sistemas de administracioacuten de archivos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 41
Vulnerabilidades
Emisor
Atacante
Receptor
Vulnerabilidades
bull INTERCEPCIONbull Una persona computadora o programa sin autorizacioacuten logra el acceso a un
recurso controlado
bull Es un ataque contra la Confidencialidad
bull Ejemplos Escuchas electroacutenicos copias iliacutecitas de programas o datos escalamiento de privilegios
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 42
Emisor
Atacante
Receptor
Vulnerabilidades
bull MODIFICACIONbull La persona sin autorizacioacuten ademaacutes de lograr el acceso modifica el mensaje
bull Este es un ataque contra la Integridad
bull Ejemplos Alterar la informacioacuten que se transmite desde una base de datos modificar los mensajes entre programas para que se comporten diferente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 43
bull FABRICACIONbull Una persona sin autorizacioacuten inserta objetos falsos en el sistemabull Es un ataque contra la Autenticidadbull Ejemplos Suplantacioacuten de identidades robo de sesiones robo de contrasentildeas
robo de direcciones IP etcbull Es muy difiacutecil estar seguro de quieacuten esta al otro lado de la liacutenea
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 44
Vulnerabilidades
Emisor
Atacante
Receptor
iquestQuienes Atacan los Sistemas
Gobiernos Extranjeros
Espiacuteas industriales o poliacuteticos
Criminales
Empleados descontentos y abusos internos
Adolescentes sin nada que hacer
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 45
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 46
Estado del ataque Ejemplo de Acciones
1-Buacutesqueda de Ingreso Correr un scanner de puertos
2-Penetracioacuten Explorar un sistema sin parches de seguridad
3-Elevacioacuten de Privilegios Lograr cuenta de Administrador
5-Enmascaramiento Borrado de rastros del ingreso y ataque
4-Ataque en si mismo Robo de datos destruccioacuten del sitio web etc
INTRUSO
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 47
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 48
Actuacioacuten del Criminal
bull Se requieren talentos especiales
bull El fraude ha crecido gracias a la aparicioacuten de las computadoras
Mitos
bull Dinero
bull Satisfaccioacuten (egocentrismo)
bull Ideologiacutea
bull Psicosis
Motivaciones personales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 49
bull Ambiente de trabajo
bull Prestaciones
bull Nivel de confianza interpersonal
bull Eacutetica ambiental
bull Nivel de stress
bull AMBIENTE DE CONTROL INTERNO
Motivaciones ambientales
Ethical Hacking
Es una intrusioacuten eacutetica es la aplicacioacuten de herramientas de intrusioacuten penetracioacuten robo personificacioacuten y negacioacuten de servicio llevado a cabo por hackers eacuteticos es decir personas con la experiencia y conocimiento suficiente para llevar a cabo estas pruebas en nombre de la organizacioacuten es decir de manera legal y prevista para determinar el nivel de seguridad de una red de equipos o servicios (incluido el aspecto de ingenieriacutea social)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 50
Ethical Hacking
bull al conocer el nivel de seguridad que se tiene en nuestra organizacioacuten es mucho maacutes sencillo no simple el tomar medidas que puedan subsanar estas deficienciasiquestPor queacute es
Importante
bull No al usar las armas que el enemigo usa es maacutes factible que podamos determinar el nivel de riesgo y por tanto la respuesta que debemos dar ante un ataque vieacutendolo como analogiacutea meacutedica es como cuando nos vacunan pues nos inoculan una versioacuten del virus del cual nos quieren hacer inmunes
iquestNo es contraproducente
bull Al contratar un servicio o realizarlo de manera interna estamos confiando en la eacutetica profesional de quien evaluacutea por lo que siacute siempre llevamos un riesgo pero se establece un contrato de buena fe hacieacutendolo suficientemente fiable (asegurando)iquestEs fiable
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 51
Ejemplos de Criacutemenes Electroacutenicos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 52
Ataque en 1986 de alemanes trabajando para la KGB contra sistemas estrateacutegicos de EEUU (Clifford Stoll Cuckooacutes egg)
El gusano Morris que se propagoacute por internet en 1988
causando un problema de DoS La causa fue la interrupcioacuten
causada por un programa escrito por Robert Tappan Morris
414 Gang enviacutea ataques contra los registros meacutedicos del
hospital para enfermos de caacutencer Sloan-Kettering
Ataques de Kevin Mitnick 1989-1996
Penetracioacuten de la red de Microsoft en octubre de 2000
por un cracker que ganoacute acceso a programas en desarrollo
Esparcimiento del Love Letter difundido por Onel Guzmaacuten en
Filipinas
53
DDoS contra Yahoo Amazon y Zdnet
Muacuteltiples problemas por virus desde
entonces
Target (Robo de informacioacuten de clientes
Identidad y datos financieros)
Juegos del Hambre
Ataque a Sony (Cyberterrorismo) y la
Respuesta con el apagoacuten de internet a
Korea del Norte
Carnabank (Europa oriental europa
occidental EEUU Panamaacute)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
Ejemplos de Criacutemenes Electroacutenicos
Algunas Clases de Ataques
Negacioacuten de Servicio (DoS)
Robo de contrasentildeas
Robo de identidad
Ingenieriacutea social
Defacement
FraudePirateriacutea de
softwareDumpster
divingCoacutedigo
MaliciosoIP spoofing
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 54
Algunas Clases de Ataques
EspionajeDestruccioacuten o alteracioacuten de informacioacuten
Uso de scripts de ataque
desarrolladosPhishing
Ciber -Terrorismo
War DialingWar
DrivingWalkingWar Chalking
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 55
El Caso Carbanak 1MMMUS$
La banda delictiva ciberneacutetica CARBANAK roba mil millones de doacutelares de 100 instituciones financieras en todo el mundo Kaspersky Lab la INTERPOL EUROPOL y autoridades de diferentes paiacuteses han unido sus fuerzas para dejar al descubierto el complot delictivo de un robo ciberneacutetico sin precedentes Hasta mil millones de doacutelares americanos fueron robados en cerca de dos antildeos de instituciones financieras en todo el mundo Los expertos informan que la responsabilidad del robo recae en una banda multinacional de ciberdelincuentesde Rusia Ucrania y otras partes de Europa asiacute como de China
La banda CARBANAK responsable del robo ciberneacutetico utilizoacute teacutecnicas extraiacutedas del arsenal de los ataques selectivos El complot marca el inicio de una nueva etapa en la evolucioacuten de la actividad de delincuencia ciberneacutetica donde usuarios maliciosos roban dinero directamente de los bancos y evitan concentrar sus ataques en los usuarios finales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 56
Comunicado de prensa 160215 - Karpersky
5705062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
MALWARE
El malware es un tipo de software que tiene como objetivo infiltrarse o dantildear un ordenador sistema de informacioacuten sin el consentimiento de su propietario
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 58
POPUP
bull Un pop-up es un tipo de ventana web que aparece delante de la ventana de un navegador al visitar una paacutegina web
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 59
VOLVER
ADWARE
bull Un programa de clase adware es cualquier programa que automaacuteticamente muestra publicidad web al usuario durante su instalacioacuten o durante su uso para generar lucro a sus autores
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 60
SPAM
bull Se llama spam correo basura a los mensajes no solicitados no deseados o de remitente no conocido habitualmente de tipo publicitario generalmente enviados
en grandes cantidades que perjudican al receptor
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 61
Bomba Loacutegica
Son programas informaacuteticos que se instala en un ordenador y permanece oculto hasta cumplirse una o maacutes condiciones preprogramadas para en ese momento ejecutar una accioacuten
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 62
volver
VIRUS DE MACROS
bull Es una secuencia de oacuterdenes de teclado y ratoacuten asignadas a una sola tecla Los virus de macros afectan a archivos y plantillas que los contienen hacieacutendose pasar por una macro y no actuaraacuten hasta que el archivo se abra o utilice
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 63
VOLVER
VIRUS RESIDENTES
bull Se colocan automaacuteticamente en la memoria RAM del ordenador De este modo pueden controlar e interceptar todas las operaciones llevadas a cabo por el sistema operativo infectando todos aquellos ficheros yo programas que sean ejecutados abiertos cerrados renombrados copiados etc
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 64
VIRUS DE ENLACE
bull Modifican las direcciones que permiten a nivel interno acceder a cada uno de los archivos existentes y como consecuencia no es posible localizarlos y trabajar con ellos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 65
VOLVER
VIRUS MUTANTES
bull Son virus que mutan es decir x Debido a estas mutaciones cada generacioacuten de virus es diferente a la versioacuten anterior dificultando asiacute su deteccioacuten y eliminacioacuten
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 66
VIRUS DE BOOT
bull Se activan en el momento en el que se arranca el ordenador desde un disco infectado ya sea desde el disco duro o desde una memoria USB
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 67
VOLVER
VIRUS DE PROGRAMA
bull Comuacutenmente infectan archivos con extensiones EXE COM OVL DRV BIN DLL y SYS
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 68
VOLVER
VIRUS DE SOBREESCRITURA
bull Sobre-escriben en el interior de los archivos atacados haciendo que se pierda el contenido de los mismos
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 69
Ataques de Seguridad
bull Spyware Es un software de computadoraque al instalarse intercepta o toma controlparcial de la interaccioacuten de lacomputadora y el usuario esto sin que elmismo se de cuenta Estos programaspueden recolectar diferentes tipos deinformacioacuten de los usuarios asiacute comoinstalar software adicional sin elconsentimiento de los mismos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 70
71
Herramientas de Seguridad
bull Gusano Es un programa de computadora quepuede replicarse a si mismo utiliza la red paraenviar copias de si mismo a otros nodos y lopuede hacer sin la intervencioacuten del usuario
A diferencia de los ldquovirusrdquo los gusanos nonecesitan estar amarrados a un programa y sufuncioacuten es principalmente dantildear la red (ejdesempentildeo) mientras que los virus dantildeanarchivos en computadoras
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
72
Ataques de Seguridad
bull Caballo de Troya Es una programa que seinstala bajo la creencia de que se estainstalando alguna otra cosa Los troyanosson programas muy utilizados parainstalar programas tipo ldquobackdoorsrdquo quepermiten el acceso no autorizado a lacomputadora atacada un ejemplo deprogramas tipo backdoor son losKeyloogers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
73
Ataques de Seguridad
bull DoS Denial of service- Ataques quehacen indisponible un servicio a losusuarios
bull DDoS Son conocidos como DNSBackbone Distributed Denial ofServices ndash Ataques tienen comoblanco los servidores raiacutez DNS por lotanto afectan uno de los pilares delInternet los nombres de los dominios
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
74
Ataques de Seguridad
bull Footprinting Teacutecnica utilizada para reunir informacioacuten acerca de sistemas computacionales y las entidades a las que pertenece algunos ejemplos son
- Domain queries
- Network queries
- Organizational queries
- TCP scans
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
75
Ataques de Seguridad
bull Fingerprinting Tambieacuten es conocidocomo TCPIP stack fingerprinting y esutilizado para determinar que sistemaoperativo utiliza alguacuten blanco en la redExiste dos tipos de fingerprinting
- Pasivo- Activo
NMAP es una herramienta que utilizafingerprinting activo para mapearpuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
76
Ataques de Seguridad
bull Escaneo de puertos El escaneo depuertos se basa en el FingerprintingActivo es decir transmite y recibesentildeales como ICMP TELNET SNMPdesde un blanco determinado en lared esto con el fin de obtenerinformacioacuten de dicho blanco en estecaso informacioacuten acerca de suspuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
77
Ataques de Seguridad
bull Sniffing Para llevar a cabo el sniffing esnecesario contar con un ldquopacket snifferrdquoque puede ser software instalado en unacomputadora o un dispositivoindependiente (appliance) estedispositivo es utilizado para interceptar yregistrar traacutefico que pasa a traveacutes de unared o de un segmento de la misma(Puede ser de una red ethernet owireless)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
78
Ataques de Seguridad
bull Spoofing Los ataques tipo spoofing sonaquellos en los que una persona oprograma logra hacerse pasar por otrafalsificando informacioacuten o utilizando laingenieriacutea algunos ataques tipo spoofingson los siguientes
- Falsificacioacuten de direccioacuten de email
- Falsificacioacuten de ID de llamadas telefoacutenicas
- Falsificacioacuten de sitios de internet (phishing)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
79
Ataques de Seguridad
bull Phishing Es el uso de teacutecnicas deingenieriacutea social con la finalidad deadquirir de manera fraudulentainformacioacuten confidencial comonombres de usuarios contrasentildeasinformacioacuten de tarjetas de creacutedito
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
80
Ataques de Seguridad
bull Ingenieriacutea Social Se refiere a unacoleccioacuten de teacutecnicas utilizadas paramanipular a las personas para querealicen alguna accioacuten o divulgueninformacioacuten confidencial
Algunos ingenieros sociales notablesson
- Kevin Mitnik
- Frank Abagnale
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
Ingenieriacutea Social
Es el conjunto de meacutetodos y praacutecticas usados para obtener informacioacuten de usuarios legiacutetimos y con la informacioacuten obtenida lograr acceso a sistemas protegidos siendo esta praacutectica de uso comuacuten entre piratas informaacuteticos y delincuentes computacionales
Coacutemo me afecta Al no validar las referencias o no seguir el protocolo de seguridad adecuado para divulgar contrasentildeas o cualquier otra informacioacuten sensible podemos ser coacutemplices de un crimen Meacutexico ha acordado con organismos internacionales la homologacioacuten yo adecuacioacuten de coacutedigos penales para que estos delitos sean perseguidos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 81
Ingenieriacutea Social
Coacutemo puedo saber si estoy siendo viacutectima de un ingeniero social Muy simple cuando alguien nos pide alguacuten tipo de informacioacuten privilegiada y esta persona es insistente cuando le requerimos seguir un protocolo para validar su intencioacuten es altamente probable que estemos siendo viacutectimas de un intento de robo de informacioacuten por un ingeniero socialhacker
Coacutemo puedo evitarlo Sencillo si no confiamos en la persona que nos solicita los datos (supongamos un teacutecnico de soporte de nuestro lugar de trabajo) podemos pedirle que nos deje sus datos y comunicarnos con el 10 minutos despueacutes de validar que la peticioacuten es legiacutetima es decir soacutelo sigamos los protocolos que existen en el trabajo y crear los propios en casa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 82
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra los Sistemas que Utilizan Tecnologiacuteas de Informacioacuten
bull Artiacuteculo 6 Acceso indebido
bull Artiacuteculo 7 Sabotaje o dantildeo a sistemas
bull Artiacuteculo 8 Favorecimiento culposo del sabotaje o dantildeo
bull Artiacuteculo 9 Acceso indebido o sabotaje a sistemas protegidos
bull Artiacuteculo 10 Posesioacuten de equipos o prestacioacuten de servicios de sabotaje
bull Artiacuteculo 11 Espionaje informaacutetico
bull Artiacuteculo 12 Falsificacioacuten de documentos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 83
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Propiedad
bull Artiacuteculo 13 Hurto
bull Artiacuteculo 14 Fraude
bull Artiacuteculo 15 Obtencioacuten indebida de bienes o servicios
bull Artiacuteculo 16 Manejo fraudulento de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 17 Apropiacioacuten de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 18 Provisioacuten indebida de bienes o servicios
bull Artiacuteculo 19 Posesioacuten de equipo para falsificaciones
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 84
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Privacidad de las Personas y de las Comunicaciones
bullArtiacuteculo 20 Violacioacuten de la privacidad de la data o informacioacuten de caraacutecter personal
bullArtiacuteculo 21 Violacioacuten de la privacidad de las comunicaciones
bullArtiacuteculo 22 Revelacioacuten indebida de data o informacioacuten de caraacutecter personal
De los Delitos Contra Nintildeos Nintildeas o Adolescentes
bullArtiacuteculo 23 Difusioacuten o exhibicioacuten de material pornograacutefico
bullArtiacuteculo 24 Exhibicioacuten pornograacutefica de nintildeos o adolescentes
De los Delitos Contra el Orden Econoacutemico
bullArtiacuteculo 25 Apropiacioacuten de propiedad intelectual
bullArtiacuteculo 26 Oferta engantildeosa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 85
Plan de Contingencia Continuidad Operacional
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 86
Plan de Contingencia
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 87
ldquoConjunto de Normas y Procedimientos documentadosy comunicados que tienen por objetivo minimizar los riesgos informaacuteticos mas probablesrdquo
InvolucrabullUso de herramientas
bullCumplimiento de Tareas por
parte de personas
Plan de Contingencia
Consta de tres subplanes independientes
bull Plan de Respaldo crear y conservar en un lugar seguro copias de seguridad de la informacioacuten
bull Pla de Emergencia queacute medidas tomar cuando se estaacute materializando una amenaza o cuando acaba de producirse
bull Plan de Recuperacioacuten medidas que se aplicaran cuando se ha producido un desastre El objetivo es evaluar el impacto y regresar lo antes posible
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 88
Plan de Contingencia
En la elaboracioacuten de este plan no se puede dejar por fuera a los miembros de la organizacioacuten el cual debe estar informado y entrenado para actuar en las funciones que le hayan sido encomendadas en caso de producirse una amenaza o impacto
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 89
Continuidad Operacional
Business Continuity Planning (Plan de Continuidad de negocios)
bull Plan Baacutesico
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Coldsite)
bull Plan Intermedio
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan Alto
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan de respuesta y continuidad de negocios alternativo (sin asistencia de sistemas)
bull Stress Testing al Plan
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 90
El Stress Testing
bull Poner a prueba el planbull Revise y evalueacute
bull Respaldosbull Oportunidad integridad y funcionalidadbull Custodia y transporte
bull Cold y Hotsitebull Funcionalidad accesibilidad y compatibilidadbull Actualizacioacuten oportuna (hotsite)
bull Personalbull Roles y funcionesbull Accesibilidad (contactos y comunicaciones)
bull Simulacioacuten de cataacutestrofesbull Sin previo aviso el director encargado del BCP se presenta en el centro de computo
cronometro en mano y baja la cuchilla de electricidad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 91
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de Lehman Brothers
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el WorldTrade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehman se desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del World Trade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehman teniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 92
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de LehmanBrothers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 93
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el World Trade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehmanse desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 94
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del WorldTrade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehmanteniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 95
La Contingencia Manual la Uacuteltima Frontera
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 96
05062015 97
DATOS BAacuteSICOS
Responsable A Nivel Corporativo Responsable(s) A Nivel Regional
PROVEEDOR (ES)
Origen Responsable Insumo (s)
RESULTADOS
Normas y Procedimientos Asociados Fecha uacuteltima revisioacuten Sistemas Aplicaciones Asociadas
Proceso
CALIFICACIOacuteN DE CONTROLES DE ENTRADA
Actividad
RECOMENDACIONES
Procesamiento
Automaacutetico (A)Manual (M)
Frecuencia
Adiestramiento Proceso Sistema N y P Otros
Negocio Area Localidad
Responsable
Nombre CargoNombre Cargo
NOMBRE
ELABORADO POR
CARGO FIRMA
Calidad de Data (B) Buena (R) Regular (M) Mala Oportunidad (AT) A Tiempo (R) Retrasada Revisioacuten Aprobacioacuten (S) Si (N) NoLEYENDA
Calificacioacuten (F) Fuerte (M) Medio (B) Bajo
DescripcioacutenResponsableDescripcioacuten
Tarea
Descripcioacuten
FRECUENCIA DE LA TAREA Diaria (D) Semanal (S) Mensual (M) Trimestral (T) Anual (A) Ocasional (O)
Soportes Recepcioacuten (P) Papel (E) Electroacutenico Archivo (S) Si (N) No Soportes Enviacuteo (S) Si (N) No Backup (S) Si (N) No
Producto (s) Cliente ReceptorControl
de salida
SoportesFrecuencia
Recepcioacuten Backup
DOCUMENTOS SISTEMAS ASOCIADOS A LOS CONTROLES
CALIFICACIOacuteN DE CONTROLES (por parte del Cliente Receptor)
Revisioacuten
Aprobacioacuten
Revisioacuten
AprobacioacutenTipo de control
Procesamiento
Automaacutetico (A)Manual (M)
Control
De EntradaTipo de control
Soportes
Recepcioacuten Archivo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 98
DATOS BAacuteSICOS
TareaActividad
Proceso Responsable del Proceso
Fecha de Elaboracioacuten 2015
Accioacuten (es) Responsable (s)
OBSERVACIONES ELABORADO POR
FIRMA
NOMBRE
Plan de recuperacioacuten y Reactivacioacuten de Finanzas
Recomendaciones Acciones
La Cadena de Valor de una Organizacioacuten de Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 99
ASESORAR EN CONTROLES DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR DELEGACIONES FINANCIERAS
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
CONTROLAR SEGURIDAD SISTEMA
OPERACIONALES ADMINISTRATIVOS Y OTROS
SISTEMAS FINANCIEROS
DESARROLLAR CONTROLES
DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR Y DESARROLLAR PLAN INTEGRAL DE CONTROL ( PIC )
Asesorar en controles de procesos normas y
Procedimientos
Administrar delegaciones financieras
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
Controlar seguridad sistema
operacionales administrativos y otros
sistemas financieros
Desarrollar
controles de
procesos
normas y
procedimientos
Administrar y desarrollar plan integral de control ( PIC )
Seguridad Informaacutetica a Nivel de Usuarios
Principio del MENOR PRIVILEGIO POSIBLE Implica seguridad de
acceso al sistema (usuario password perfiles de usuario de
manera transaccional ndash seguridad por posicioacuten workflow)
bull Reducir la capacidad de accioacuten del usuario sobre los sistemas
bull Objetivo Lograr el menor dantildeo posible en caso de incidentes
Administracioacuten de privilegios
bull Usuarios uacutenicos e intransferibles
bull Procesos de desactivacioacuten de cuentas y activacioacuten del reemplazo (en periacuteodos vacacionales y de reposos)
bull Administracioacuten de claves de acceso
bull Alfanumeacutericas + caracteres especiales + mayuacutesculas minuacutesculas
bull Caducidad
bull Bloqueo por intentos fallidos
bull Prohibicioacuten de palabras y datos de uso comuacuten o asociadas al usuario
bull Reseteo de clave de forma automaacutetica con preguntas de desafiacuteo (pe usando datos encriptados que solo el usuario conoce como fecha de ingreso a la empresa)
bull Perfil de usuario
bull De acuerdo a la actividad y delegacioacuten de autoridad de acuerdo a su posicioacuten y responsabilidades
bull Esquemas de proteccioacuten de datos e informacioacuten (Privado Confidencial y Estrictamente Privado y Confidencial) seguacuten la posicioacuten y actividades (previendo delincuencia comuacuten o DDOO)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 34
Seguridad Informaacutetica a Nivel de Usuarios
EDUCAR AL USUARIO
bull Documentar y publicar todas las normas y procedimientos asociados
bull Generar una cultura de seguridad El usuario ayuda a reforzar y aplicar los mecanismos de seguridad
bull Objetivo Reducir el nuacutemero de incidentes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 35
Adicionales a los que ya
se mostroacute para
usuarios comunes se
debe
bull Seguridad de acceso a las instalaciones (aacuterea de desarrollo y aacuterea de servidores o main frame)
bull Poliacutetica de respaldo de informacioacuten y programas que incluyan backups in situ outside a modo copia espejo e incremental (solo variaciones)
bull Poliacuteticas de sustraccioacuten de datos incluyendo el uso de CDROM y Pendrivers (Wikiliks)
bull Crear ambientes de desarrollo de software aislados de los ambientes de produccioacuten (operaciones de la empresa) y de prueba Crear ambientes de prueba con participacioacuten funcional
bull Crear protocolos de procesos de cambio (implantacioacuten de sistemas actualizacioacuten de software incluidos los sistemas operativos) que incluyan respaldo total de programas y datos a modo espejo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 36
Seguridad Informaacutetica a Nivel de Usuarios
Vulnerabilidad
bull En un sistema informaacutetico lo que queremos proteger son sus activos es decir los recursos que forman parte del sistema y que podemos agrupar enbull - Hardware - Software
bull - Datos - Otros
bull Los mas criacuteticos son los datos el hardware y el software Es decir los datos que estaacuten almacenados en el hardware y que son procesados por las aplicaciones software
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 37
Vulnerabilidad
bull Es la debilidad de cualquier tipo que compromete la seguridad del sistema informaacutetico
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 38
Disentildeobull Debilidad en el disentildeo de protocolos utilizados en las redes
bull Poliacuteticas de seguridad deficientes e inexistentes
Implementacioacuten
bull Errores de programacioacuten
bull Existencia de ldquopuertas traserasrdquo en los sistemas informaacuteticos
bull Descuido de los fabricantes
Uso
bull Mala configuracioacuten de los sistemas informaacuteticos
bull Desconocimiento y falta de sensibilizacioacuten de los usuarios y de los responsables de informaacutetica
bull Disponibilidad de herramientas que facilitan los ataques
bull Limitacioacuten gubernamental de tecnologiacuteas de seguridad
Vulnerabilidades conocidas
bull Firewall
bull Antivirus
bull Malware
bull Antispy
bull Protocolos de encriptacioacuten
bull Firmas digitales
bull Monitoreo de redes (Comunity Manager)
Consisten en ataques
intercepciones de datos y enviacuteo de
informacioacuten usurpando identidad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 39
Vulnerabilidades
bull Ataques contra el flujo de la informacioacuten FLUJO NORMAL
Los mensajes en una red se enviacutean a partir de un emisor a uno o varios receptores
El atacante es un tercer elemento en la realidad existen millones de elementos atacantesintencionales o accidentales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 40
Emisor Receptor
Atacante
bull INTERRUPCIONbull El mensaje no puede llegar a su destino un recurso del sistema es destruido o
temporalmente inutilizado
bull Este es un ataque contra la Disponibilidad
bull Ejemplos Destruccioacuten de una pieza de hardware cortar los medios de comunicacioacuten o deshabilitar los sistemas de administracioacuten de archivos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 41
Vulnerabilidades
Emisor
Atacante
Receptor
Vulnerabilidades
bull INTERCEPCIONbull Una persona computadora o programa sin autorizacioacuten logra el acceso a un
recurso controlado
bull Es un ataque contra la Confidencialidad
bull Ejemplos Escuchas electroacutenicos copias iliacutecitas de programas o datos escalamiento de privilegios
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 42
Emisor
Atacante
Receptor
Vulnerabilidades
bull MODIFICACIONbull La persona sin autorizacioacuten ademaacutes de lograr el acceso modifica el mensaje
bull Este es un ataque contra la Integridad
bull Ejemplos Alterar la informacioacuten que se transmite desde una base de datos modificar los mensajes entre programas para que se comporten diferente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 43
bull FABRICACIONbull Una persona sin autorizacioacuten inserta objetos falsos en el sistemabull Es un ataque contra la Autenticidadbull Ejemplos Suplantacioacuten de identidades robo de sesiones robo de contrasentildeas
robo de direcciones IP etcbull Es muy difiacutecil estar seguro de quieacuten esta al otro lado de la liacutenea
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 44
Vulnerabilidades
Emisor
Atacante
Receptor
iquestQuienes Atacan los Sistemas
Gobiernos Extranjeros
Espiacuteas industriales o poliacuteticos
Criminales
Empleados descontentos y abusos internos
Adolescentes sin nada que hacer
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 45
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 46
Estado del ataque Ejemplo de Acciones
1-Buacutesqueda de Ingreso Correr un scanner de puertos
2-Penetracioacuten Explorar un sistema sin parches de seguridad
3-Elevacioacuten de Privilegios Lograr cuenta de Administrador
5-Enmascaramiento Borrado de rastros del ingreso y ataque
4-Ataque en si mismo Robo de datos destruccioacuten del sitio web etc
INTRUSO
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 47
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 48
Actuacioacuten del Criminal
bull Se requieren talentos especiales
bull El fraude ha crecido gracias a la aparicioacuten de las computadoras
Mitos
bull Dinero
bull Satisfaccioacuten (egocentrismo)
bull Ideologiacutea
bull Psicosis
Motivaciones personales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 49
bull Ambiente de trabajo
bull Prestaciones
bull Nivel de confianza interpersonal
bull Eacutetica ambiental
bull Nivel de stress
bull AMBIENTE DE CONTROL INTERNO
Motivaciones ambientales
Ethical Hacking
Es una intrusioacuten eacutetica es la aplicacioacuten de herramientas de intrusioacuten penetracioacuten robo personificacioacuten y negacioacuten de servicio llevado a cabo por hackers eacuteticos es decir personas con la experiencia y conocimiento suficiente para llevar a cabo estas pruebas en nombre de la organizacioacuten es decir de manera legal y prevista para determinar el nivel de seguridad de una red de equipos o servicios (incluido el aspecto de ingenieriacutea social)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 50
Ethical Hacking
bull al conocer el nivel de seguridad que se tiene en nuestra organizacioacuten es mucho maacutes sencillo no simple el tomar medidas que puedan subsanar estas deficienciasiquestPor queacute es
Importante
bull No al usar las armas que el enemigo usa es maacutes factible que podamos determinar el nivel de riesgo y por tanto la respuesta que debemos dar ante un ataque vieacutendolo como analogiacutea meacutedica es como cuando nos vacunan pues nos inoculan una versioacuten del virus del cual nos quieren hacer inmunes
iquestNo es contraproducente
bull Al contratar un servicio o realizarlo de manera interna estamos confiando en la eacutetica profesional de quien evaluacutea por lo que siacute siempre llevamos un riesgo pero se establece un contrato de buena fe hacieacutendolo suficientemente fiable (asegurando)iquestEs fiable
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 51
Ejemplos de Criacutemenes Electroacutenicos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 52
Ataque en 1986 de alemanes trabajando para la KGB contra sistemas estrateacutegicos de EEUU (Clifford Stoll Cuckooacutes egg)
El gusano Morris que se propagoacute por internet en 1988
causando un problema de DoS La causa fue la interrupcioacuten
causada por un programa escrito por Robert Tappan Morris
414 Gang enviacutea ataques contra los registros meacutedicos del
hospital para enfermos de caacutencer Sloan-Kettering
Ataques de Kevin Mitnick 1989-1996
Penetracioacuten de la red de Microsoft en octubre de 2000
por un cracker que ganoacute acceso a programas en desarrollo
Esparcimiento del Love Letter difundido por Onel Guzmaacuten en
Filipinas
53
DDoS contra Yahoo Amazon y Zdnet
Muacuteltiples problemas por virus desde
entonces
Target (Robo de informacioacuten de clientes
Identidad y datos financieros)
Juegos del Hambre
Ataque a Sony (Cyberterrorismo) y la
Respuesta con el apagoacuten de internet a
Korea del Norte
Carnabank (Europa oriental europa
occidental EEUU Panamaacute)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
Ejemplos de Criacutemenes Electroacutenicos
Algunas Clases de Ataques
Negacioacuten de Servicio (DoS)
Robo de contrasentildeas
Robo de identidad
Ingenieriacutea social
Defacement
FraudePirateriacutea de
softwareDumpster
divingCoacutedigo
MaliciosoIP spoofing
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 54
Algunas Clases de Ataques
EspionajeDestruccioacuten o alteracioacuten de informacioacuten
Uso de scripts de ataque
desarrolladosPhishing
Ciber -Terrorismo
War DialingWar
DrivingWalkingWar Chalking
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 55
El Caso Carbanak 1MMMUS$
La banda delictiva ciberneacutetica CARBANAK roba mil millones de doacutelares de 100 instituciones financieras en todo el mundo Kaspersky Lab la INTERPOL EUROPOL y autoridades de diferentes paiacuteses han unido sus fuerzas para dejar al descubierto el complot delictivo de un robo ciberneacutetico sin precedentes Hasta mil millones de doacutelares americanos fueron robados en cerca de dos antildeos de instituciones financieras en todo el mundo Los expertos informan que la responsabilidad del robo recae en una banda multinacional de ciberdelincuentesde Rusia Ucrania y otras partes de Europa asiacute como de China
La banda CARBANAK responsable del robo ciberneacutetico utilizoacute teacutecnicas extraiacutedas del arsenal de los ataques selectivos El complot marca el inicio de una nueva etapa en la evolucioacuten de la actividad de delincuencia ciberneacutetica donde usuarios maliciosos roban dinero directamente de los bancos y evitan concentrar sus ataques en los usuarios finales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 56
Comunicado de prensa 160215 - Karpersky
5705062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
MALWARE
El malware es un tipo de software que tiene como objetivo infiltrarse o dantildear un ordenador sistema de informacioacuten sin el consentimiento de su propietario
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 58
POPUP
bull Un pop-up es un tipo de ventana web que aparece delante de la ventana de un navegador al visitar una paacutegina web
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 59
VOLVER
ADWARE
bull Un programa de clase adware es cualquier programa que automaacuteticamente muestra publicidad web al usuario durante su instalacioacuten o durante su uso para generar lucro a sus autores
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 60
SPAM
bull Se llama spam correo basura a los mensajes no solicitados no deseados o de remitente no conocido habitualmente de tipo publicitario generalmente enviados
en grandes cantidades que perjudican al receptor
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 61
Bomba Loacutegica
Son programas informaacuteticos que se instala en un ordenador y permanece oculto hasta cumplirse una o maacutes condiciones preprogramadas para en ese momento ejecutar una accioacuten
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 62
volver
VIRUS DE MACROS
bull Es una secuencia de oacuterdenes de teclado y ratoacuten asignadas a una sola tecla Los virus de macros afectan a archivos y plantillas que los contienen hacieacutendose pasar por una macro y no actuaraacuten hasta que el archivo se abra o utilice
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 63
VOLVER
VIRUS RESIDENTES
bull Se colocan automaacuteticamente en la memoria RAM del ordenador De este modo pueden controlar e interceptar todas las operaciones llevadas a cabo por el sistema operativo infectando todos aquellos ficheros yo programas que sean ejecutados abiertos cerrados renombrados copiados etc
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 64
VIRUS DE ENLACE
bull Modifican las direcciones que permiten a nivel interno acceder a cada uno de los archivos existentes y como consecuencia no es posible localizarlos y trabajar con ellos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 65
VOLVER
VIRUS MUTANTES
bull Son virus que mutan es decir x Debido a estas mutaciones cada generacioacuten de virus es diferente a la versioacuten anterior dificultando asiacute su deteccioacuten y eliminacioacuten
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 66
VIRUS DE BOOT
bull Se activan en el momento en el que se arranca el ordenador desde un disco infectado ya sea desde el disco duro o desde una memoria USB
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 67
VOLVER
VIRUS DE PROGRAMA
bull Comuacutenmente infectan archivos con extensiones EXE COM OVL DRV BIN DLL y SYS
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 68
VOLVER
VIRUS DE SOBREESCRITURA
bull Sobre-escriben en el interior de los archivos atacados haciendo que se pierda el contenido de los mismos
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 69
Ataques de Seguridad
bull Spyware Es un software de computadoraque al instalarse intercepta o toma controlparcial de la interaccioacuten de lacomputadora y el usuario esto sin que elmismo se de cuenta Estos programaspueden recolectar diferentes tipos deinformacioacuten de los usuarios asiacute comoinstalar software adicional sin elconsentimiento de los mismos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 70
71
Herramientas de Seguridad
bull Gusano Es un programa de computadora quepuede replicarse a si mismo utiliza la red paraenviar copias de si mismo a otros nodos y lopuede hacer sin la intervencioacuten del usuario
A diferencia de los ldquovirusrdquo los gusanos nonecesitan estar amarrados a un programa y sufuncioacuten es principalmente dantildear la red (ejdesempentildeo) mientras que los virus dantildeanarchivos en computadoras
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
72
Ataques de Seguridad
bull Caballo de Troya Es una programa que seinstala bajo la creencia de que se estainstalando alguna otra cosa Los troyanosson programas muy utilizados parainstalar programas tipo ldquobackdoorsrdquo quepermiten el acceso no autorizado a lacomputadora atacada un ejemplo deprogramas tipo backdoor son losKeyloogers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
73
Ataques de Seguridad
bull DoS Denial of service- Ataques quehacen indisponible un servicio a losusuarios
bull DDoS Son conocidos como DNSBackbone Distributed Denial ofServices ndash Ataques tienen comoblanco los servidores raiacutez DNS por lotanto afectan uno de los pilares delInternet los nombres de los dominios
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
74
Ataques de Seguridad
bull Footprinting Teacutecnica utilizada para reunir informacioacuten acerca de sistemas computacionales y las entidades a las que pertenece algunos ejemplos son
- Domain queries
- Network queries
- Organizational queries
- TCP scans
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
75
Ataques de Seguridad
bull Fingerprinting Tambieacuten es conocidocomo TCPIP stack fingerprinting y esutilizado para determinar que sistemaoperativo utiliza alguacuten blanco en la redExiste dos tipos de fingerprinting
- Pasivo- Activo
NMAP es una herramienta que utilizafingerprinting activo para mapearpuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
76
Ataques de Seguridad
bull Escaneo de puertos El escaneo depuertos se basa en el FingerprintingActivo es decir transmite y recibesentildeales como ICMP TELNET SNMPdesde un blanco determinado en lared esto con el fin de obtenerinformacioacuten de dicho blanco en estecaso informacioacuten acerca de suspuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
77
Ataques de Seguridad
bull Sniffing Para llevar a cabo el sniffing esnecesario contar con un ldquopacket snifferrdquoque puede ser software instalado en unacomputadora o un dispositivoindependiente (appliance) estedispositivo es utilizado para interceptar yregistrar traacutefico que pasa a traveacutes de unared o de un segmento de la misma(Puede ser de una red ethernet owireless)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
78
Ataques de Seguridad
bull Spoofing Los ataques tipo spoofing sonaquellos en los que una persona oprograma logra hacerse pasar por otrafalsificando informacioacuten o utilizando laingenieriacutea algunos ataques tipo spoofingson los siguientes
- Falsificacioacuten de direccioacuten de email
- Falsificacioacuten de ID de llamadas telefoacutenicas
- Falsificacioacuten de sitios de internet (phishing)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
79
Ataques de Seguridad
bull Phishing Es el uso de teacutecnicas deingenieriacutea social con la finalidad deadquirir de manera fraudulentainformacioacuten confidencial comonombres de usuarios contrasentildeasinformacioacuten de tarjetas de creacutedito
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
80
Ataques de Seguridad
bull Ingenieriacutea Social Se refiere a unacoleccioacuten de teacutecnicas utilizadas paramanipular a las personas para querealicen alguna accioacuten o divulgueninformacioacuten confidencial
Algunos ingenieros sociales notablesson
- Kevin Mitnik
- Frank Abagnale
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
Ingenieriacutea Social
Es el conjunto de meacutetodos y praacutecticas usados para obtener informacioacuten de usuarios legiacutetimos y con la informacioacuten obtenida lograr acceso a sistemas protegidos siendo esta praacutectica de uso comuacuten entre piratas informaacuteticos y delincuentes computacionales
Coacutemo me afecta Al no validar las referencias o no seguir el protocolo de seguridad adecuado para divulgar contrasentildeas o cualquier otra informacioacuten sensible podemos ser coacutemplices de un crimen Meacutexico ha acordado con organismos internacionales la homologacioacuten yo adecuacioacuten de coacutedigos penales para que estos delitos sean perseguidos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 81
Ingenieriacutea Social
Coacutemo puedo saber si estoy siendo viacutectima de un ingeniero social Muy simple cuando alguien nos pide alguacuten tipo de informacioacuten privilegiada y esta persona es insistente cuando le requerimos seguir un protocolo para validar su intencioacuten es altamente probable que estemos siendo viacutectimas de un intento de robo de informacioacuten por un ingeniero socialhacker
Coacutemo puedo evitarlo Sencillo si no confiamos en la persona que nos solicita los datos (supongamos un teacutecnico de soporte de nuestro lugar de trabajo) podemos pedirle que nos deje sus datos y comunicarnos con el 10 minutos despueacutes de validar que la peticioacuten es legiacutetima es decir soacutelo sigamos los protocolos que existen en el trabajo y crear los propios en casa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 82
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra los Sistemas que Utilizan Tecnologiacuteas de Informacioacuten
bull Artiacuteculo 6 Acceso indebido
bull Artiacuteculo 7 Sabotaje o dantildeo a sistemas
bull Artiacuteculo 8 Favorecimiento culposo del sabotaje o dantildeo
bull Artiacuteculo 9 Acceso indebido o sabotaje a sistemas protegidos
bull Artiacuteculo 10 Posesioacuten de equipos o prestacioacuten de servicios de sabotaje
bull Artiacuteculo 11 Espionaje informaacutetico
bull Artiacuteculo 12 Falsificacioacuten de documentos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 83
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Propiedad
bull Artiacuteculo 13 Hurto
bull Artiacuteculo 14 Fraude
bull Artiacuteculo 15 Obtencioacuten indebida de bienes o servicios
bull Artiacuteculo 16 Manejo fraudulento de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 17 Apropiacioacuten de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 18 Provisioacuten indebida de bienes o servicios
bull Artiacuteculo 19 Posesioacuten de equipo para falsificaciones
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 84
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Privacidad de las Personas y de las Comunicaciones
bullArtiacuteculo 20 Violacioacuten de la privacidad de la data o informacioacuten de caraacutecter personal
bullArtiacuteculo 21 Violacioacuten de la privacidad de las comunicaciones
bullArtiacuteculo 22 Revelacioacuten indebida de data o informacioacuten de caraacutecter personal
De los Delitos Contra Nintildeos Nintildeas o Adolescentes
bullArtiacuteculo 23 Difusioacuten o exhibicioacuten de material pornograacutefico
bullArtiacuteculo 24 Exhibicioacuten pornograacutefica de nintildeos o adolescentes
De los Delitos Contra el Orden Econoacutemico
bullArtiacuteculo 25 Apropiacioacuten de propiedad intelectual
bullArtiacuteculo 26 Oferta engantildeosa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 85
Plan de Contingencia Continuidad Operacional
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 86
Plan de Contingencia
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 87
ldquoConjunto de Normas y Procedimientos documentadosy comunicados que tienen por objetivo minimizar los riesgos informaacuteticos mas probablesrdquo
InvolucrabullUso de herramientas
bullCumplimiento de Tareas por
parte de personas
Plan de Contingencia
Consta de tres subplanes independientes
bull Plan de Respaldo crear y conservar en un lugar seguro copias de seguridad de la informacioacuten
bull Pla de Emergencia queacute medidas tomar cuando se estaacute materializando una amenaza o cuando acaba de producirse
bull Plan de Recuperacioacuten medidas que se aplicaran cuando se ha producido un desastre El objetivo es evaluar el impacto y regresar lo antes posible
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 88
Plan de Contingencia
En la elaboracioacuten de este plan no se puede dejar por fuera a los miembros de la organizacioacuten el cual debe estar informado y entrenado para actuar en las funciones que le hayan sido encomendadas en caso de producirse una amenaza o impacto
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 89
Continuidad Operacional
Business Continuity Planning (Plan de Continuidad de negocios)
bull Plan Baacutesico
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Coldsite)
bull Plan Intermedio
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan Alto
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan de respuesta y continuidad de negocios alternativo (sin asistencia de sistemas)
bull Stress Testing al Plan
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 90
El Stress Testing
bull Poner a prueba el planbull Revise y evalueacute
bull Respaldosbull Oportunidad integridad y funcionalidadbull Custodia y transporte
bull Cold y Hotsitebull Funcionalidad accesibilidad y compatibilidadbull Actualizacioacuten oportuna (hotsite)
bull Personalbull Roles y funcionesbull Accesibilidad (contactos y comunicaciones)
bull Simulacioacuten de cataacutestrofesbull Sin previo aviso el director encargado del BCP se presenta en el centro de computo
cronometro en mano y baja la cuchilla de electricidad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 91
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de Lehman Brothers
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el WorldTrade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehman se desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del World Trade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehman teniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 92
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de LehmanBrothers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 93
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el World Trade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehmanse desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 94
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del WorldTrade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehmanteniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 95
La Contingencia Manual la Uacuteltima Frontera
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 96
05062015 97
DATOS BAacuteSICOS
Responsable A Nivel Corporativo Responsable(s) A Nivel Regional
PROVEEDOR (ES)
Origen Responsable Insumo (s)
RESULTADOS
Normas y Procedimientos Asociados Fecha uacuteltima revisioacuten Sistemas Aplicaciones Asociadas
Proceso
CALIFICACIOacuteN DE CONTROLES DE ENTRADA
Actividad
RECOMENDACIONES
Procesamiento
Automaacutetico (A)Manual (M)
Frecuencia
Adiestramiento Proceso Sistema N y P Otros
Negocio Area Localidad
Responsable
Nombre CargoNombre Cargo
NOMBRE
ELABORADO POR
CARGO FIRMA
Calidad de Data (B) Buena (R) Regular (M) Mala Oportunidad (AT) A Tiempo (R) Retrasada Revisioacuten Aprobacioacuten (S) Si (N) NoLEYENDA
Calificacioacuten (F) Fuerte (M) Medio (B) Bajo
DescripcioacutenResponsableDescripcioacuten
Tarea
Descripcioacuten
FRECUENCIA DE LA TAREA Diaria (D) Semanal (S) Mensual (M) Trimestral (T) Anual (A) Ocasional (O)
Soportes Recepcioacuten (P) Papel (E) Electroacutenico Archivo (S) Si (N) No Soportes Enviacuteo (S) Si (N) No Backup (S) Si (N) No
Producto (s) Cliente ReceptorControl
de salida
SoportesFrecuencia
Recepcioacuten Backup
DOCUMENTOS SISTEMAS ASOCIADOS A LOS CONTROLES
CALIFICACIOacuteN DE CONTROLES (por parte del Cliente Receptor)
Revisioacuten
Aprobacioacuten
Revisioacuten
AprobacioacutenTipo de control
Procesamiento
Automaacutetico (A)Manual (M)
Control
De EntradaTipo de control
Soportes
Recepcioacuten Archivo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 98
DATOS BAacuteSICOS
TareaActividad
Proceso Responsable del Proceso
Fecha de Elaboracioacuten 2015
Accioacuten (es) Responsable (s)
OBSERVACIONES ELABORADO POR
FIRMA
NOMBRE
Plan de recuperacioacuten y Reactivacioacuten de Finanzas
Recomendaciones Acciones
La Cadena de Valor de una Organizacioacuten de Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 99
ASESORAR EN CONTROLES DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR DELEGACIONES FINANCIERAS
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
CONTROLAR SEGURIDAD SISTEMA
OPERACIONALES ADMINISTRATIVOS Y OTROS
SISTEMAS FINANCIEROS
DESARROLLAR CONTROLES
DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR Y DESARROLLAR PLAN INTEGRAL DE CONTROL ( PIC )
Asesorar en controles de procesos normas y
Procedimientos
Administrar delegaciones financieras
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
Controlar seguridad sistema
operacionales administrativos y otros
sistemas financieros
Desarrollar
controles de
procesos
normas y
procedimientos
Administrar y desarrollar plan integral de control ( PIC )
Seguridad Informaacutetica a Nivel de Usuarios
EDUCAR AL USUARIO
bull Documentar y publicar todas las normas y procedimientos asociados
bull Generar una cultura de seguridad El usuario ayuda a reforzar y aplicar los mecanismos de seguridad
bull Objetivo Reducir el nuacutemero de incidentes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 35
Adicionales a los que ya
se mostroacute para
usuarios comunes se
debe
bull Seguridad de acceso a las instalaciones (aacuterea de desarrollo y aacuterea de servidores o main frame)
bull Poliacutetica de respaldo de informacioacuten y programas que incluyan backups in situ outside a modo copia espejo e incremental (solo variaciones)
bull Poliacuteticas de sustraccioacuten de datos incluyendo el uso de CDROM y Pendrivers (Wikiliks)
bull Crear ambientes de desarrollo de software aislados de los ambientes de produccioacuten (operaciones de la empresa) y de prueba Crear ambientes de prueba con participacioacuten funcional
bull Crear protocolos de procesos de cambio (implantacioacuten de sistemas actualizacioacuten de software incluidos los sistemas operativos) que incluyan respaldo total de programas y datos a modo espejo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 36
Seguridad Informaacutetica a Nivel de Usuarios
Vulnerabilidad
bull En un sistema informaacutetico lo que queremos proteger son sus activos es decir los recursos que forman parte del sistema y que podemos agrupar enbull - Hardware - Software
bull - Datos - Otros
bull Los mas criacuteticos son los datos el hardware y el software Es decir los datos que estaacuten almacenados en el hardware y que son procesados por las aplicaciones software
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 37
Vulnerabilidad
bull Es la debilidad de cualquier tipo que compromete la seguridad del sistema informaacutetico
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 38
Disentildeobull Debilidad en el disentildeo de protocolos utilizados en las redes
bull Poliacuteticas de seguridad deficientes e inexistentes
Implementacioacuten
bull Errores de programacioacuten
bull Existencia de ldquopuertas traserasrdquo en los sistemas informaacuteticos
bull Descuido de los fabricantes
Uso
bull Mala configuracioacuten de los sistemas informaacuteticos
bull Desconocimiento y falta de sensibilizacioacuten de los usuarios y de los responsables de informaacutetica
bull Disponibilidad de herramientas que facilitan los ataques
bull Limitacioacuten gubernamental de tecnologiacuteas de seguridad
Vulnerabilidades conocidas
bull Firewall
bull Antivirus
bull Malware
bull Antispy
bull Protocolos de encriptacioacuten
bull Firmas digitales
bull Monitoreo de redes (Comunity Manager)
Consisten en ataques
intercepciones de datos y enviacuteo de
informacioacuten usurpando identidad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 39
Vulnerabilidades
bull Ataques contra el flujo de la informacioacuten FLUJO NORMAL
Los mensajes en una red se enviacutean a partir de un emisor a uno o varios receptores
El atacante es un tercer elemento en la realidad existen millones de elementos atacantesintencionales o accidentales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 40
Emisor Receptor
Atacante
bull INTERRUPCIONbull El mensaje no puede llegar a su destino un recurso del sistema es destruido o
temporalmente inutilizado
bull Este es un ataque contra la Disponibilidad
bull Ejemplos Destruccioacuten de una pieza de hardware cortar los medios de comunicacioacuten o deshabilitar los sistemas de administracioacuten de archivos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 41
Vulnerabilidades
Emisor
Atacante
Receptor
Vulnerabilidades
bull INTERCEPCIONbull Una persona computadora o programa sin autorizacioacuten logra el acceso a un
recurso controlado
bull Es un ataque contra la Confidencialidad
bull Ejemplos Escuchas electroacutenicos copias iliacutecitas de programas o datos escalamiento de privilegios
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 42
Emisor
Atacante
Receptor
Vulnerabilidades
bull MODIFICACIONbull La persona sin autorizacioacuten ademaacutes de lograr el acceso modifica el mensaje
bull Este es un ataque contra la Integridad
bull Ejemplos Alterar la informacioacuten que se transmite desde una base de datos modificar los mensajes entre programas para que se comporten diferente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 43
bull FABRICACIONbull Una persona sin autorizacioacuten inserta objetos falsos en el sistemabull Es un ataque contra la Autenticidadbull Ejemplos Suplantacioacuten de identidades robo de sesiones robo de contrasentildeas
robo de direcciones IP etcbull Es muy difiacutecil estar seguro de quieacuten esta al otro lado de la liacutenea
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 44
Vulnerabilidades
Emisor
Atacante
Receptor
iquestQuienes Atacan los Sistemas
Gobiernos Extranjeros
Espiacuteas industriales o poliacuteticos
Criminales
Empleados descontentos y abusos internos
Adolescentes sin nada que hacer
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 45
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 46
Estado del ataque Ejemplo de Acciones
1-Buacutesqueda de Ingreso Correr un scanner de puertos
2-Penetracioacuten Explorar un sistema sin parches de seguridad
3-Elevacioacuten de Privilegios Lograr cuenta de Administrador
5-Enmascaramiento Borrado de rastros del ingreso y ataque
4-Ataque en si mismo Robo de datos destruccioacuten del sitio web etc
INTRUSO
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 47
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 48
Actuacioacuten del Criminal
bull Se requieren talentos especiales
bull El fraude ha crecido gracias a la aparicioacuten de las computadoras
Mitos
bull Dinero
bull Satisfaccioacuten (egocentrismo)
bull Ideologiacutea
bull Psicosis
Motivaciones personales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 49
bull Ambiente de trabajo
bull Prestaciones
bull Nivel de confianza interpersonal
bull Eacutetica ambiental
bull Nivel de stress
bull AMBIENTE DE CONTROL INTERNO
Motivaciones ambientales
Ethical Hacking
Es una intrusioacuten eacutetica es la aplicacioacuten de herramientas de intrusioacuten penetracioacuten robo personificacioacuten y negacioacuten de servicio llevado a cabo por hackers eacuteticos es decir personas con la experiencia y conocimiento suficiente para llevar a cabo estas pruebas en nombre de la organizacioacuten es decir de manera legal y prevista para determinar el nivel de seguridad de una red de equipos o servicios (incluido el aspecto de ingenieriacutea social)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 50
Ethical Hacking
bull al conocer el nivel de seguridad que se tiene en nuestra organizacioacuten es mucho maacutes sencillo no simple el tomar medidas que puedan subsanar estas deficienciasiquestPor queacute es
Importante
bull No al usar las armas que el enemigo usa es maacutes factible que podamos determinar el nivel de riesgo y por tanto la respuesta que debemos dar ante un ataque vieacutendolo como analogiacutea meacutedica es como cuando nos vacunan pues nos inoculan una versioacuten del virus del cual nos quieren hacer inmunes
iquestNo es contraproducente
bull Al contratar un servicio o realizarlo de manera interna estamos confiando en la eacutetica profesional de quien evaluacutea por lo que siacute siempre llevamos un riesgo pero se establece un contrato de buena fe hacieacutendolo suficientemente fiable (asegurando)iquestEs fiable
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 51
Ejemplos de Criacutemenes Electroacutenicos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 52
Ataque en 1986 de alemanes trabajando para la KGB contra sistemas estrateacutegicos de EEUU (Clifford Stoll Cuckooacutes egg)
El gusano Morris que se propagoacute por internet en 1988
causando un problema de DoS La causa fue la interrupcioacuten
causada por un programa escrito por Robert Tappan Morris
414 Gang enviacutea ataques contra los registros meacutedicos del
hospital para enfermos de caacutencer Sloan-Kettering
Ataques de Kevin Mitnick 1989-1996
Penetracioacuten de la red de Microsoft en octubre de 2000
por un cracker que ganoacute acceso a programas en desarrollo
Esparcimiento del Love Letter difundido por Onel Guzmaacuten en
Filipinas
53
DDoS contra Yahoo Amazon y Zdnet
Muacuteltiples problemas por virus desde
entonces
Target (Robo de informacioacuten de clientes
Identidad y datos financieros)
Juegos del Hambre
Ataque a Sony (Cyberterrorismo) y la
Respuesta con el apagoacuten de internet a
Korea del Norte
Carnabank (Europa oriental europa
occidental EEUU Panamaacute)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
Ejemplos de Criacutemenes Electroacutenicos
Algunas Clases de Ataques
Negacioacuten de Servicio (DoS)
Robo de contrasentildeas
Robo de identidad
Ingenieriacutea social
Defacement
FraudePirateriacutea de
softwareDumpster
divingCoacutedigo
MaliciosoIP spoofing
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 54
Algunas Clases de Ataques
EspionajeDestruccioacuten o alteracioacuten de informacioacuten
Uso de scripts de ataque
desarrolladosPhishing
Ciber -Terrorismo
War DialingWar
DrivingWalkingWar Chalking
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 55
El Caso Carbanak 1MMMUS$
La banda delictiva ciberneacutetica CARBANAK roba mil millones de doacutelares de 100 instituciones financieras en todo el mundo Kaspersky Lab la INTERPOL EUROPOL y autoridades de diferentes paiacuteses han unido sus fuerzas para dejar al descubierto el complot delictivo de un robo ciberneacutetico sin precedentes Hasta mil millones de doacutelares americanos fueron robados en cerca de dos antildeos de instituciones financieras en todo el mundo Los expertos informan que la responsabilidad del robo recae en una banda multinacional de ciberdelincuentesde Rusia Ucrania y otras partes de Europa asiacute como de China
La banda CARBANAK responsable del robo ciberneacutetico utilizoacute teacutecnicas extraiacutedas del arsenal de los ataques selectivos El complot marca el inicio de una nueva etapa en la evolucioacuten de la actividad de delincuencia ciberneacutetica donde usuarios maliciosos roban dinero directamente de los bancos y evitan concentrar sus ataques en los usuarios finales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 56
Comunicado de prensa 160215 - Karpersky
5705062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
MALWARE
El malware es un tipo de software que tiene como objetivo infiltrarse o dantildear un ordenador sistema de informacioacuten sin el consentimiento de su propietario
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 58
POPUP
bull Un pop-up es un tipo de ventana web que aparece delante de la ventana de un navegador al visitar una paacutegina web
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 59
VOLVER
ADWARE
bull Un programa de clase adware es cualquier programa que automaacuteticamente muestra publicidad web al usuario durante su instalacioacuten o durante su uso para generar lucro a sus autores
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 60
SPAM
bull Se llama spam correo basura a los mensajes no solicitados no deseados o de remitente no conocido habitualmente de tipo publicitario generalmente enviados
en grandes cantidades que perjudican al receptor
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 61
Bomba Loacutegica
Son programas informaacuteticos que se instala en un ordenador y permanece oculto hasta cumplirse una o maacutes condiciones preprogramadas para en ese momento ejecutar una accioacuten
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 62
volver
VIRUS DE MACROS
bull Es una secuencia de oacuterdenes de teclado y ratoacuten asignadas a una sola tecla Los virus de macros afectan a archivos y plantillas que los contienen hacieacutendose pasar por una macro y no actuaraacuten hasta que el archivo se abra o utilice
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 63
VOLVER
VIRUS RESIDENTES
bull Se colocan automaacuteticamente en la memoria RAM del ordenador De este modo pueden controlar e interceptar todas las operaciones llevadas a cabo por el sistema operativo infectando todos aquellos ficheros yo programas que sean ejecutados abiertos cerrados renombrados copiados etc
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 64
VIRUS DE ENLACE
bull Modifican las direcciones que permiten a nivel interno acceder a cada uno de los archivos existentes y como consecuencia no es posible localizarlos y trabajar con ellos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 65
VOLVER
VIRUS MUTANTES
bull Son virus que mutan es decir x Debido a estas mutaciones cada generacioacuten de virus es diferente a la versioacuten anterior dificultando asiacute su deteccioacuten y eliminacioacuten
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 66
VIRUS DE BOOT
bull Se activan en el momento en el que se arranca el ordenador desde un disco infectado ya sea desde el disco duro o desde una memoria USB
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 67
VOLVER
VIRUS DE PROGRAMA
bull Comuacutenmente infectan archivos con extensiones EXE COM OVL DRV BIN DLL y SYS
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 68
VOLVER
VIRUS DE SOBREESCRITURA
bull Sobre-escriben en el interior de los archivos atacados haciendo que se pierda el contenido de los mismos
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 69
Ataques de Seguridad
bull Spyware Es un software de computadoraque al instalarse intercepta o toma controlparcial de la interaccioacuten de lacomputadora y el usuario esto sin que elmismo se de cuenta Estos programaspueden recolectar diferentes tipos deinformacioacuten de los usuarios asiacute comoinstalar software adicional sin elconsentimiento de los mismos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 70
71
Herramientas de Seguridad
bull Gusano Es un programa de computadora quepuede replicarse a si mismo utiliza la red paraenviar copias de si mismo a otros nodos y lopuede hacer sin la intervencioacuten del usuario
A diferencia de los ldquovirusrdquo los gusanos nonecesitan estar amarrados a un programa y sufuncioacuten es principalmente dantildear la red (ejdesempentildeo) mientras que los virus dantildeanarchivos en computadoras
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
72
Ataques de Seguridad
bull Caballo de Troya Es una programa que seinstala bajo la creencia de que se estainstalando alguna otra cosa Los troyanosson programas muy utilizados parainstalar programas tipo ldquobackdoorsrdquo quepermiten el acceso no autorizado a lacomputadora atacada un ejemplo deprogramas tipo backdoor son losKeyloogers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
73
Ataques de Seguridad
bull DoS Denial of service- Ataques quehacen indisponible un servicio a losusuarios
bull DDoS Son conocidos como DNSBackbone Distributed Denial ofServices ndash Ataques tienen comoblanco los servidores raiacutez DNS por lotanto afectan uno de los pilares delInternet los nombres de los dominios
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
74
Ataques de Seguridad
bull Footprinting Teacutecnica utilizada para reunir informacioacuten acerca de sistemas computacionales y las entidades a las que pertenece algunos ejemplos son
- Domain queries
- Network queries
- Organizational queries
- TCP scans
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
75
Ataques de Seguridad
bull Fingerprinting Tambieacuten es conocidocomo TCPIP stack fingerprinting y esutilizado para determinar que sistemaoperativo utiliza alguacuten blanco en la redExiste dos tipos de fingerprinting
- Pasivo- Activo
NMAP es una herramienta que utilizafingerprinting activo para mapearpuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
76
Ataques de Seguridad
bull Escaneo de puertos El escaneo depuertos se basa en el FingerprintingActivo es decir transmite y recibesentildeales como ICMP TELNET SNMPdesde un blanco determinado en lared esto con el fin de obtenerinformacioacuten de dicho blanco en estecaso informacioacuten acerca de suspuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
77
Ataques de Seguridad
bull Sniffing Para llevar a cabo el sniffing esnecesario contar con un ldquopacket snifferrdquoque puede ser software instalado en unacomputadora o un dispositivoindependiente (appliance) estedispositivo es utilizado para interceptar yregistrar traacutefico que pasa a traveacutes de unared o de un segmento de la misma(Puede ser de una red ethernet owireless)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
78
Ataques de Seguridad
bull Spoofing Los ataques tipo spoofing sonaquellos en los que una persona oprograma logra hacerse pasar por otrafalsificando informacioacuten o utilizando laingenieriacutea algunos ataques tipo spoofingson los siguientes
- Falsificacioacuten de direccioacuten de email
- Falsificacioacuten de ID de llamadas telefoacutenicas
- Falsificacioacuten de sitios de internet (phishing)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
79
Ataques de Seguridad
bull Phishing Es el uso de teacutecnicas deingenieriacutea social con la finalidad deadquirir de manera fraudulentainformacioacuten confidencial comonombres de usuarios contrasentildeasinformacioacuten de tarjetas de creacutedito
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
80
Ataques de Seguridad
bull Ingenieriacutea Social Se refiere a unacoleccioacuten de teacutecnicas utilizadas paramanipular a las personas para querealicen alguna accioacuten o divulgueninformacioacuten confidencial
Algunos ingenieros sociales notablesson
- Kevin Mitnik
- Frank Abagnale
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
Ingenieriacutea Social
Es el conjunto de meacutetodos y praacutecticas usados para obtener informacioacuten de usuarios legiacutetimos y con la informacioacuten obtenida lograr acceso a sistemas protegidos siendo esta praacutectica de uso comuacuten entre piratas informaacuteticos y delincuentes computacionales
Coacutemo me afecta Al no validar las referencias o no seguir el protocolo de seguridad adecuado para divulgar contrasentildeas o cualquier otra informacioacuten sensible podemos ser coacutemplices de un crimen Meacutexico ha acordado con organismos internacionales la homologacioacuten yo adecuacioacuten de coacutedigos penales para que estos delitos sean perseguidos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 81
Ingenieriacutea Social
Coacutemo puedo saber si estoy siendo viacutectima de un ingeniero social Muy simple cuando alguien nos pide alguacuten tipo de informacioacuten privilegiada y esta persona es insistente cuando le requerimos seguir un protocolo para validar su intencioacuten es altamente probable que estemos siendo viacutectimas de un intento de robo de informacioacuten por un ingeniero socialhacker
Coacutemo puedo evitarlo Sencillo si no confiamos en la persona que nos solicita los datos (supongamos un teacutecnico de soporte de nuestro lugar de trabajo) podemos pedirle que nos deje sus datos y comunicarnos con el 10 minutos despueacutes de validar que la peticioacuten es legiacutetima es decir soacutelo sigamos los protocolos que existen en el trabajo y crear los propios en casa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 82
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra los Sistemas que Utilizan Tecnologiacuteas de Informacioacuten
bull Artiacuteculo 6 Acceso indebido
bull Artiacuteculo 7 Sabotaje o dantildeo a sistemas
bull Artiacuteculo 8 Favorecimiento culposo del sabotaje o dantildeo
bull Artiacuteculo 9 Acceso indebido o sabotaje a sistemas protegidos
bull Artiacuteculo 10 Posesioacuten de equipos o prestacioacuten de servicios de sabotaje
bull Artiacuteculo 11 Espionaje informaacutetico
bull Artiacuteculo 12 Falsificacioacuten de documentos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 83
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Propiedad
bull Artiacuteculo 13 Hurto
bull Artiacuteculo 14 Fraude
bull Artiacuteculo 15 Obtencioacuten indebida de bienes o servicios
bull Artiacuteculo 16 Manejo fraudulento de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 17 Apropiacioacuten de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 18 Provisioacuten indebida de bienes o servicios
bull Artiacuteculo 19 Posesioacuten de equipo para falsificaciones
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 84
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Privacidad de las Personas y de las Comunicaciones
bullArtiacuteculo 20 Violacioacuten de la privacidad de la data o informacioacuten de caraacutecter personal
bullArtiacuteculo 21 Violacioacuten de la privacidad de las comunicaciones
bullArtiacuteculo 22 Revelacioacuten indebida de data o informacioacuten de caraacutecter personal
De los Delitos Contra Nintildeos Nintildeas o Adolescentes
bullArtiacuteculo 23 Difusioacuten o exhibicioacuten de material pornograacutefico
bullArtiacuteculo 24 Exhibicioacuten pornograacutefica de nintildeos o adolescentes
De los Delitos Contra el Orden Econoacutemico
bullArtiacuteculo 25 Apropiacioacuten de propiedad intelectual
bullArtiacuteculo 26 Oferta engantildeosa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 85
Plan de Contingencia Continuidad Operacional
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 86
Plan de Contingencia
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 87
ldquoConjunto de Normas y Procedimientos documentadosy comunicados que tienen por objetivo minimizar los riesgos informaacuteticos mas probablesrdquo
InvolucrabullUso de herramientas
bullCumplimiento de Tareas por
parte de personas
Plan de Contingencia
Consta de tres subplanes independientes
bull Plan de Respaldo crear y conservar en un lugar seguro copias de seguridad de la informacioacuten
bull Pla de Emergencia queacute medidas tomar cuando se estaacute materializando una amenaza o cuando acaba de producirse
bull Plan de Recuperacioacuten medidas que se aplicaran cuando se ha producido un desastre El objetivo es evaluar el impacto y regresar lo antes posible
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 88
Plan de Contingencia
En la elaboracioacuten de este plan no se puede dejar por fuera a los miembros de la organizacioacuten el cual debe estar informado y entrenado para actuar en las funciones que le hayan sido encomendadas en caso de producirse una amenaza o impacto
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 89
Continuidad Operacional
Business Continuity Planning (Plan de Continuidad de negocios)
bull Plan Baacutesico
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Coldsite)
bull Plan Intermedio
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan Alto
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan de respuesta y continuidad de negocios alternativo (sin asistencia de sistemas)
bull Stress Testing al Plan
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 90
El Stress Testing
bull Poner a prueba el planbull Revise y evalueacute
bull Respaldosbull Oportunidad integridad y funcionalidadbull Custodia y transporte
bull Cold y Hotsitebull Funcionalidad accesibilidad y compatibilidadbull Actualizacioacuten oportuna (hotsite)
bull Personalbull Roles y funcionesbull Accesibilidad (contactos y comunicaciones)
bull Simulacioacuten de cataacutestrofesbull Sin previo aviso el director encargado del BCP se presenta en el centro de computo
cronometro en mano y baja la cuchilla de electricidad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 91
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de Lehman Brothers
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el WorldTrade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehman se desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del World Trade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehman teniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 92
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de LehmanBrothers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 93
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el World Trade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehmanse desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 94
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del WorldTrade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehmanteniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 95
La Contingencia Manual la Uacuteltima Frontera
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 96
05062015 97
DATOS BAacuteSICOS
Responsable A Nivel Corporativo Responsable(s) A Nivel Regional
PROVEEDOR (ES)
Origen Responsable Insumo (s)
RESULTADOS
Normas y Procedimientos Asociados Fecha uacuteltima revisioacuten Sistemas Aplicaciones Asociadas
Proceso
CALIFICACIOacuteN DE CONTROLES DE ENTRADA
Actividad
RECOMENDACIONES
Procesamiento
Automaacutetico (A)Manual (M)
Frecuencia
Adiestramiento Proceso Sistema N y P Otros
Negocio Area Localidad
Responsable
Nombre CargoNombre Cargo
NOMBRE
ELABORADO POR
CARGO FIRMA
Calidad de Data (B) Buena (R) Regular (M) Mala Oportunidad (AT) A Tiempo (R) Retrasada Revisioacuten Aprobacioacuten (S) Si (N) NoLEYENDA
Calificacioacuten (F) Fuerte (M) Medio (B) Bajo
DescripcioacutenResponsableDescripcioacuten
Tarea
Descripcioacuten
FRECUENCIA DE LA TAREA Diaria (D) Semanal (S) Mensual (M) Trimestral (T) Anual (A) Ocasional (O)
Soportes Recepcioacuten (P) Papel (E) Electroacutenico Archivo (S) Si (N) No Soportes Enviacuteo (S) Si (N) No Backup (S) Si (N) No
Producto (s) Cliente ReceptorControl
de salida
SoportesFrecuencia
Recepcioacuten Backup
DOCUMENTOS SISTEMAS ASOCIADOS A LOS CONTROLES
CALIFICACIOacuteN DE CONTROLES (por parte del Cliente Receptor)
Revisioacuten
Aprobacioacuten
Revisioacuten
AprobacioacutenTipo de control
Procesamiento
Automaacutetico (A)Manual (M)
Control
De EntradaTipo de control
Soportes
Recepcioacuten Archivo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 98
DATOS BAacuteSICOS
TareaActividad
Proceso Responsable del Proceso
Fecha de Elaboracioacuten 2015
Accioacuten (es) Responsable (s)
OBSERVACIONES ELABORADO POR
FIRMA
NOMBRE
Plan de recuperacioacuten y Reactivacioacuten de Finanzas
Recomendaciones Acciones
La Cadena de Valor de una Organizacioacuten de Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 99
ASESORAR EN CONTROLES DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR DELEGACIONES FINANCIERAS
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
CONTROLAR SEGURIDAD SISTEMA
OPERACIONALES ADMINISTRATIVOS Y OTROS
SISTEMAS FINANCIEROS
DESARROLLAR CONTROLES
DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR Y DESARROLLAR PLAN INTEGRAL DE CONTROL ( PIC )
Asesorar en controles de procesos normas y
Procedimientos
Administrar delegaciones financieras
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
Controlar seguridad sistema
operacionales administrativos y otros
sistemas financieros
Desarrollar
controles de
procesos
normas y
procedimientos
Administrar y desarrollar plan integral de control ( PIC )
Adicionales a los que ya
se mostroacute para
usuarios comunes se
debe
bull Seguridad de acceso a las instalaciones (aacuterea de desarrollo y aacuterea de servidores o main frame)
bull Poliacutetica de respaldo de informacioacuten y programas que incluyan backups in situ outside a modo copia espejo e incremental (solo variaciones)
bull Poliacuteticas de sustraccioacuten de datos incluyendo el uso de CDROM y Pendrivers (Wikiliks)
bull Crear ambientes de desarrollo de software aislados de los ambientes de produccioacuten (operaciones de la empresa) y de prueba Crear ambientes de prueba con participacioacuten funcional
bull Crear protocolos de procesos de cambio (implantacioacuten de sistemas actualizacioacuten de software incluidos los sistemas operativos) que incluyan respaldo total de programas y datos a modo espejo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 36
Seguridad Informaacutetica a Nivel de Usuarios
Vulnerabilidad
bull En un sistema informaacutetico lo que queremos proteger son sus activos es decir los recursos que forman parte del sistema y que podemos agrupar enbull - Hardware - Software
bull - Datos - Otros
bull Los mas criacuteticos son los datos el hardware y el software Es decir los datos que estaacuten almacenados en el hardware y que son procesados por las aplicaciones software
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 37
Vulnerabilidad
bull Es la debilidad de cualquier tipo que compromete la seguridad del sistema informaacutetico
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 38
Disentildeobull Debilidad en el disentildeo de protocolos utilizados en las redes
bull Poliacuteticas de seguridad deficientes e inexistentes
Implementacioacuten
bull Errores de programacioacuten
bull Existencia de ldquopuertas traserasrdquo en los sistemas informaacuteticos
bull Descuido de los fabricantes
Uso
bull Mala configuracioacuten de los sistemas informaacuteticos
bull Desconocimiento y falta de sensibilizacioacuten de los usuarios y de los responsables de informaacutetica
bull Disponibilidad de herramientas que facilitan los ataques
bull Limitacioacuten gubernamental de tecnologiacuteas de seguridad
Vulnerabilidades conocidas
bull Firewall
bull Antivirus
bull Malware
bull Antispy
bull Protocolos de encriptacioacuten
bull Firmas digitales
bull Monitoreo de redes (Comunity Manager)
Consisten en ataques
intercepciones de datos y enviacuteo de
informacioacuten usurpando identidad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 39
Vulnerabilidades
bull Ataques contra el flujo de la informacioacuten FLUJO NORMAL
Los mensajes en una red se enviacutean a partir de un emisor a uno o varios receptores
El atacante es un tercer elemento en la realidad existen millones de elementos atacantesintencionales o accidentales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 40
Emisor Receptor
Atacante
bull INTERRUPCIONbull El mensaje no puede llegar a su destino un recurso del sistema es destruido o
temporalmente inutilizado
bull Este es un ataque contra la Disponibilidad
bull Ejemplos Destruccioacuten de una pieza de hardware cortar los medios de comunicacioacuten o deshabilitar los sistemas de administracioacuten de archivos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 41
Vulnerabilidades
Emisor
Atacante
Receptor
Vulnerabilidades
bull INTERCEPCIONbull Una persona computadora o programa sin autorizacioacuten logra el acceso a un
recurso controlado
bull Es un ataque contra la Confidencialidad
bull Ejemplos Escuchas electroacutenicos copias iliacutecitas de programas o datos escalamiento de privilegios
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 42
Emisor
Atacante
Receptor
Vulnerabilidades
bull MODIFICACIONbull La persona sin autorizacioacuten ademaacutes de lograr el acceso modifica el mensaje
bull Este es un ataque contra la Integridad
bull Ejemplos Alterar la informacioacuten que se transmite desde una base de datos modificar los mensajes entre programas para que se comporten diferente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 43
bull FABRICACIONbull Una persona sin autorizacioacuten inserta objetos falsos en el sistemabull Es un ataque contra la Autenticidadbull Ejemplos Suplantacioacuten de identidades robo de sesiones robo de contrasentildeas
robo de direcciones IP etcbull Es muy difiacutecil estar seguro de quieacuten esta al otro lado de la liacutenea
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 44
Vulnerabilidades
Emisor
Atacante
Receptor
iquestQuienes Atacan los Sistemas
Gobiernos Extranjeros
Espiacuteas industriales o poliacuteticos
Criminales
Empleados descontentos y abusos internos
Adolescentes sin nada que hacer
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 45
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 46
Estado del ataque Ejemplo de Acciones
1-Buacutesqueda de Ingreso Correr un scanner de puertos
2-Penetracioacuten Explorar un sistema sin parches de seguridad
3-Elevacioacuten de Privilegios Lograr cuenta de Administrador
5-Enmascaramiento Borrado de rastros del ingreso y ataque
4-Ataque en si mismo Robo de datos destruccioacuten del sitio web etc
INTRUSO
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 47
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 48
Actuacioacuten del Criminal
bull Se requieren talentos especiales
bull El fraude ha crecido gracias a la aparicioacuten de las computadoras
Mitos
bull Dinero
bull Satisfaccioacuten (egocentrismo)
bull Ideologiacutea
bull Psicosis
Motivaciones personales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 49
bull Ambiente de trabajo
bull Prestaciones
bull Nivel de confianza interpersonal
bull Eacutetica ambiental
bull Nivel de stress
bull AMBIENTE DE CONTROL INTERNO
Motivaciones ambientales
Ethical Hacking
Es una intrusioacuten eacutetica es la aplicacioacuten de herramientas de intrusioacuten penetracioacuten robo personificacioacuten y negacioacuten de servicio llevado a cabo por hackers eacuteticos es decir personas con la experiencia y conocimiento suficiente para llevar a cabo estas pruebas en nombre de la organizacioacuten es decir de manera legal y prevista para determinar el nivel de seguridad de una red de equipos o servicios (incluido el aspecto de ingenieriacutea social)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 50
Ethical Hacking
bull al conocer el nivel de seguridad que se tiene en nuestra organizacioacuten es mucho maacutes sencillo no simple el tomar medidas que puedan subsanar estas deficienciasiquestPor queacute es
Importante
bull No al usar las armas que el enemigo usa es maacutes factible que podamos determinar el nivel de riesgo y por tanto la respuesta que debemos dar ante un ataque vieacutendolo como analogiacutea meacutedica es como cuando nos vacunan pues nos inoculan una versioacuten del virus del cual nos quieren hacer inmunes
iquestNo es contraproducente
bull Al contratar un servicio o realizarlo de manera interna estamos confiando en la eacutetica profesional de quien evaluacutea por lo que siacute siempre llevamos un riesgo pero se establece un contrato de buena fe hacieacutendolo suficientemente fiable (asegurando)iquestEs fiable
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 51
Ejemplos de Criacutemenes Electroacutenicos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 52
Ataque en 1986 de alemanes trabajando para la KGB contra sistemas estrateacutegicos de EEUU (Clifford Stoll Cuckooacutes egg)
El gusano Morris que se propagoacute por internet en 1988
causando un problema de DoS La causa fue la interrupcioacuten
causada por un programa escrito por Robert Tappan Morris
414 Gang enviacutea ataques contra los registros meacutedicos del
hospital para enfermos de caacutencer Sloan-Kettering
Ataques de Kevin Mitnick 1989-1996
Penetracioacuten de la red de Microsoft en octubre de 2000
por un cracker que ganoacute acceso a programas en desarrollo
Esparcimiento del Love Letter difundido por Onel Guzmaacuten en
Filipinas
53
DDoS contra Yahoo Amazon y Zdnet
Muacuteltiples problemas por virus desde
entonces
Target (Robo de informacioacuten de clientes
Identidad y datos financieros)
Juegos del Hambre
Ataque a Sony (Cyberterrorismo) y la
Respuesta con el apagoacuten de internet a
Korea del Norte
Carnabank (Europa oriental europa
occidental EEUU Panamaacute)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
Ejemplos de Criacutemenes Electroacutenicos
Algunas Clases de Ataques
Negacioacuten de Servicio (DoS)
Robo de contrasentildeas
Robo de identidad
Ingenieriacutea social
Defacement
FraudePirateriacutea de
softwareDumpster
divingCoacutedigo
MaliciosoIP spoofing
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 54
Algunas Clases de Ataques
EspionajeDestruccioacuten o alteracioacuten de informacioacuten
Uso de scripts de ataque
desarrolladosPhishing
Ciber -Terrorismo
War DialingWar
DrivingWalkingWar Chalking
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 55
El Caso Carbanak 1MMMUS$
La banda delictiva ciberneacutetica CARBANAK roba mil millones de doacutelares de 100 instituciones financieras en todo el mundo Kaspersky Lab la INTERPOL EUROPOL y autoridades de diferentes paiacuteses han unido sus fuerzas para dejar al descubierto el complot delictivo de un robo ciberneacutetico sin precedentes Hasta mil millones de doacutelares americanos fueron robados en cerca de dos antildeos de instituciones financieras en todo el mundo Los expertos informan que la responsabilidad del robo recae en una banda multinacional de ciberdelincuentesde Rusia Ucrania y otras partes de Europa asiacute como de China
La banda CARBANAK responsable del robo ciberneacutetico utilizoacute teacutecnicas extraiacutedas del arsenal de los ataques selectivos El complot marca el inicio de una nueva etapa en la evolucioacuten de la actividad de delincuencia ciberneacutetica donde usuarios maliciosos roban dinero directamente de los bancos y evitan concentrar sus ataques en los usuarios finales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 56
Comunicado de prensa 160215 - Karpersky
5705062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
MALWARE
El malware es un tipo de software que tiene como objetivo infiltrarse o dantildear un ordenador sistema de informacioacuten sin el consentimiento de su propietario
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 58
POPUP
bull Un pop-up es un tipo de ventana web que aparece delante de la ventana de un navegador al visitar una paacutegina web
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 59
VOLVER
ADWARE
bull Un programa de clase adware es cualquier programa que automaacuteticamente muestra publicidad web al usuario durante su instalacioacuten o durante su uso para generar lucro a sus autores
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 60
SPAM
bull Se llama spam correo basura a los mensajes no solicitados no deseados o de remitente no conocido habitualmente de tipo publicitario generalmente enviados
en grandes cantidades que perjudican al receptor
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 61
Bomba Loacutegica
Son programas informaacuteticos que se instala en un ordenador y permanece oculto hasta cumplirse una o maacutes condiciones preprogramadas para en ese momento ejecutar una accioacuten
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 62
volver
VIRUS DE MACROS
bull Es una secuencia de oacuterdenes de teclado y ratoacuten asignadas a una sola tecla Los virus de macros afectan a archivos y plantillas que los contienen hacieacutendose pasar por una macro y no actuaraacuten hasta que el archivo se abra o utilice
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 63
VOLVER
VIRUS RESIDENTES
bull Se colocan automaacuteticamente en la memoria RAM del ordenador De este modo pueden controlar e interceptar todas las operaciones llevadas a cabo por el sistema operativo infectando todos aquellos ficheros yo programas que sean ejecutados abiertos cerrados renombrados copiados etc
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 64
VIRUS DE ENLACE
bull Modifican las direcciones que permiten a nivel interno acceder a cada uno de los archivos existentes y como consecuencia no es posible localizarlos y trabajar con ellos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 65
VOLVER
VIRUS MUTANTES
bull Son virus que mutan es decir x Debido a estas mutaciones cada generacioacuten de virus es diferente a la versioacuten anterior dificultando asiacute su deteccioacuten y eliminacioacuten
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 66
VIRUS DE BOOT
bull Se activan en el momento en el que se arranca el ordenador desde un disco infectado ya sea desde el disco duro o desde una memoria USB
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 67
VOLVER
VIRUS DE PROGRAMA
bull Comuacutenmente infectan archivos con extensiones EXE COM OVL DRV BIN DLL y SYS
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 68
VOLVER
VIRUS DE SOBREESCRITURA
bull Sobre-escriben en el interior de los archivos atacados haciendo que se pierda el contenido de los mismos
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 69
Ataques de Seguridad
bull Spyware Es un software de computadoraque al instalarse intercepta o toma controlparcial de la interaccioacuten de lacomputadora y el usuario esto sin que elmismo se de cuenta Estos programaspueden recolectar diferentes tipos deinformacioacuten de los usuarios asiacute comoinstalar software adicional sin elconsentimiento de los mismos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 70
71
Herramientas de Seguridad
bull Gusano Es un programa de computadora quepuede replicarse a si mismo utiliza la red paraenviar copias de si mismo a otros nodos y lopuede hacer sin la intervencioacuten del usuario
A diferencia de los ldquovirusrdquo los gusanos nonecesitan estar amarrados a un programa y sufuncioacuten es principalmente dantildear la red (ejdesempentildeo) mientras que los virus dantildeanarchivos en computadoras
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
72
Ataques de Seguridad
bull Caballo de Troya Es una programa que seinstala bajo la creencia de que se estainstalando alguna otra cosa Los troyanosson programas muy utilizados parainstalar programas tipo ldquobackdoorsrdquo quepermiten el acceso no autorizado a lacomputadora atacada un ejemplo deprogramas tipo backdoor son losKeyloogers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
73
Ataques de Seguridad
bull DoS Denial of service- Ataques quehacen indisponible un servicio a losusuarios
bull DDoS Son conocidos como DNSBackbone Distributed Denial ofServices ndash Ataques tienen comoblanco los servidores raiacutez DNS por lotanto afectan uno de los pilares delInternet los nombres de los dominios
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
74
Ataques de Seguridad
bull Footprinting Teacutecnica utilizada para reunir informacioacuten acerca de sistemas computacionales y las entidades a las que pertenece algunos ejemplos son
- Domain queries
- Network queries
- Organizational queries
- TCP scans
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
75
Ataques de Seguridad
bull Fingerprinting Tambieacuten es conocidocomo TCPIP stack fingerprinting y esutilizado para determinar que sistemaoperativo utiliza alguacuten blanco en la redExiste dos tipos de fingerprinting
- Pasivo- Activo
NMAP es una herramienta que utilizafingerprinting activo para mapearpuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
76
Ataques de Seguridad
bull Escaneo de puertos El escaneo depuertos se basa en el FingerprintingActivo es decir transmite y recibesentildeales como ICMP TELNET SNMPdesde un blanco determinado en lared esto con el fin de obtenerinformacioacuten de dicho blanco en estecaso informacioacuten acerca de suspuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
77
Ataques de Seguridad
bull Sniffing Para llevar a cabo el sniffing esnecesario contar con un ldquopacket snifferrdquoque puede ser software instalado en unacomputadora o un dispositivoindependiente (appliance) estedispositivo es utilizado para interceptar yregistrar traacutefico que pasa a traveacutes de unared o de un segmento de la misma(Puede ser de una red ethernet owireless)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
78
Ataques de Seguridad
bull Spoofing Los ataques tipo spoofing sonaquellos en los que una persona oprograma logra hacerse pasar por otrafalsificando informacioacuten o utilizando laingenieriacutea algunos ataques tipo spoofingson los siguientes
- Falsificacioacuten de direccioacuten de email
- Falsificacioacuten de ID de llamadas telefoacutenicas
- Falsificacioacuten de sitios de internet (phishing)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
79
Ataques de Seguridad
bull Phishing Es el uso de teacutecnicas deingenieriacutea social con la finalidad deadquirir de manera fraudulentainformacioacuten confidencial comonombres de usuarios contrasentildeasinformacioacuten de tarjetas de creacutedito
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
80
Ataques de Seguridad
bull Ingenieriacutea Social Se refiere a unacoleccioacuten de teacutecnicas utilizadas paramanipular a las personas para querealicen alguna accioacuten o divulgueninformacioacuten confidencial
Algunos ingenieros sociales notablesson
- Kevin Mitnik
- Frank Abagnale
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
Ingenieriacutea Social
Es el conjunto de meacutetodos y praacutecticas usados para obtener informacioacuten de usuarios legiacutetimos y con la informacioacuten obtenida lograr acceso a sistemas protegidos siendo esta praacutectica de uso comuacuten entre piratas informaacuteticos y delincuentes computacionales
Coacutemo me afecta Al no validar las referencias o no seguir el protocolo de seguridad adecuado para divulgar contrasentildeas o cualquier otra informacioacuten sensible podemos ser coacutemplices de un crimen Meacutexico ha acordado con organismos internacionales la homologacioacuten yo adecuacioacuten de coacutedigos penales para que estos delitos sean perseguidos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 81
Ingenieriacutea Social
Coacutemo puedo saber si estoy siendo viacutectima de un ingeniero social Muy simple cuando alguien nos pide alguacuten tipo de informacioacuten privilegiada y esta persona es insistente cuando le requerimos seguir un protocolo para validar su intencioacuten es altamente probable que estemos siendo viacutectimas de un intento de robo de informacioacuten por un ingeniero socialhacker
Coacutemo puedo evitarlo Sencillo si no confiamos en la persona que nos solicita los datos (supongamos un teacutecnico de soporte de nuestro lugar de trabajo) podemos pedirle que nos deje sus datos y comunicarnos con el 10 minutos despueacutes de validar que la peticioacuten es legiacutetima es decir soacutelo sigamos los protocolos que existen en el trabajo y crear los propios en casa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 82
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra los Sistemas que Utilizan Tecnologiacuteas de Informacioacuten
bull Artiacuteculo 6 Acceso indebido
bull Artiacuteculo 7 Sabotaje o dantildeo a sistemas
bull Artiacuteculo 8 Favorecimiento culposo del sabotaje o dantildeo
bull Artiacuteculo 9 Acceso indebido o sabotaje a sistemas protegidos
bull Artiacuteculo 10 Posesioacuten de equipos o prestacioacuten de servicios de sabotaje
bull Artiacuteculo 11 Espionaje informaacutetico
bull Artiacuteculo 12 Falsificacioacuten de documentos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 83
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Propiedad
bull Artiacuteculo 13 Hurto
bull Artiacuteculo 14 Fraude
bull Artiacuteculo 15 Obtencioacuten indebida de bienes o servicios
bull Artiacuteculo 16 Manejo fraudulento de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 17 Apropiacioacuten de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 18 Provisioacuten indebida de bienes o servicios
bull Artiacuteculo 19 Posesioacuten de equipo para falsificaciones
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 84
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Privacidad de las Personas y de las Comunicaciones
bullArtiacuteculo 20 Violacioacuten de la privacidad de la data o informacioacuten de caraacutecter personal
bullArtiacuteculo 21 Violacioacuten de la privacidad de las comunicaciones
bullArtiacuteculo 22 Revelacioacuten indebida de data o informacioacuten de caraacutecter personal
De los Delitos Contra Nintildeos Nintildeas o Adolescentes
bullArtiacuteculo 23 Difusioacuten o exhibicioacuten de material pornograacutefico
bullArtiacuteculo 24 Exhibicioacuten pornograacutefica de nintildeos o adolescentes
De los Delitos Contra el Orden Econoacutemico
bullArtiacuteculo 25 Apropiacioacuten de propiedad intelectual
bullArtiacuteculo 26 Oferta engantildeosa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 85
Plan de Contingencia Continuidad Operacional
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 86
Plan de Contingencia
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 87
ldquoConjunto de Normas y Procedimientos documentadosy comunicados que tienen por objetivo minimizar los riesgos informaacuteticos mas probablesrdquo
InvolucrabullUso de herramientas
bullCumplimiento de Tareas por
parte de personas
Plan de Contingencia
Consta de tres subplanes independientes
bull Plan de Respaldo crear y conservar en un lugar seguro copias de seguridad de la informacioacuten
bull Pla de Emergencia queacute medidas tomar cuando se estaacute materializando una amenaza o cuando acaba de producirse
bull Plan de Recuperacioacuten medidas que se aplicaran cuando se ha producido un desastre El objetivo es evaluar el impacto y regresar lo antes posible
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 88
Plan de Contingencia
En la elaboracioacuten de este plan no se puede dejar por fuera a los miembros de la organizacioacuten el cual debe estar informado y entrenado para actuar en las funciones que le hayan sido encomendadas en caso de producirse una amenaza o impacto
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 89
Continuidad Operacional
Business Continuity Planning (Plan de Continuidad de negocios)
bull Plan Baacutesico
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Coldsite)
bull Plan Intermedio
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan Alto
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan de respuesta y continuidad de negocios alternativo (sin asistencia de sistemas)
bull Stress Testing al Plan
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 90
El Stress Testing
bull Poner a prueba el planbull Revise y evalueacute
bull Respaldosbull Oportunidad integridad y funcionalidadbull Custodia y transporte
bull Cold y Hotsitebull Funcionalidad accesibilidad y compatibilidadbull Actualizacioacuten oportuna (hotsite)
bull Personalbull Roles y funcionesbull Accesibilidad (contactos y comunicaciones)
bull Simulacioacuten de cataacutestrofesbull Sin previo aviso el director encargado del BCP se presenta en el centro de computo
cronometro en mano y baja la cuchilla de electricidad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 91
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de Lehman Brothers
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el WorldTrade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehman se desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del World Trade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehman teniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 92
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de LehmanBrothers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 93
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el World Trade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehmanse desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 94
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del WorldTrade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehmanteniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 95
La Contingencia Manual la Uacuteltima Frontera
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 96
05062015 97
DATOS BAacuteSICOS
Responsable A Nivel Corporativo Responsable(s) A Nivel Regional
PROVEEDOR (ES)
Origen Responsable Insumo (s)
RESULTADOS
Normas y Procedimientos Asociados Fecha uacuteltima revisioacuten Sistemas Aplicaciones Asociadas
Proceso
CALIFICACIOacuteN DE CONTROLES DE ENTRADA
Actividad
RECOMENDACIONES
Procesamiento
Automaacutetico (A)Manual (M)
Frecuencia
Adiestramiento Proceso Sistema N y P Otros
Negocio Area Localidad
Responsable
Nombre CargoNombre Cargo
NOMBRE
ELABORADO POR
CARGO FIRMA
Calidad de Data (B) Buena (R) Regular (M) Mala Oportunidad (AT) A Tiempo (R) Retrasada Revisioacuten Aprobacioacuten (S) Si (N) NoLEYENDA
Calificacioacuten (F) Fuerte (M) Medio (B) Bajo
DescripcioacutenResponsableDescripcioacuten
Tarea
Descripcioacuten
FRECUENCIA DE LA TAREA Diaria (D) Semanal (S) Mensual (M) Trimestral (T) Anual (A) Ocasional (O)
Soportes Recepcioacuten (P) Papel (E) Electroacutenico Archivo (S) Si (N) No Soportes Enviacuteo (S) Si (N) No Backup (S) Si (N) No
Producto (s) Cliente ReceptorControl
de salida
SoportesFrecuencia
Recepcioacuten Backup
DOCUMENTOS SISTEMAS ASOCIADOS A LOS CONTROLES
CALIFICACIOacuteN DE CONTROLES (por parte del Cliente Receptor)
Revisioacuten
Aprobacioacuten
Revisioacuten
AprobacioacutenTipo de control
Procesamiento
Automaacutetico (A)Manual (M)
Control
De EntradaTipo de control
Soportes
Recepcioacuten Archivo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 98
DATOS BAacuteSICOS
TareaActividad
Proceso Responsable del Proceso
Fecha de Elaboracioacuten 2015
Accioacuten (es) Responsable (s)
OBSERVACIONES ELABORADO POR
FIRMA
NOMBRE
Plan de recuperacioacuten y Reactivacioacuten de Finanzas
Recomendaciones Acciones
La Cadena de Valor de una Organizacioacuten de Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 99
ASESORAR EN CONTROLES DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR DELEGACIONES FINANCIERAS
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
CONTROLAR SEGURIDAD SISTEMA
OPERACIONALES ADMINISTRATIVOS Y OTROS
SISTEMAS FINANCIEROS
DESARROLLAR CONTROLES
DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR Y DESARROLLAR PLAN INTEGRAL DE CONTROL ( PIC )
Asesorar en controles de procesos normas y
Procedimientos
Administrar delegaciones financieras
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
Controlar seguridad sistema
operacionales administrativos y otros
sistemas financieros
Desarrollar
controles de
procesos
normas y
procedimientos
Administrar y desarrollar plan integral de control ( PIC )
Vulnerabilidad
bull En un sistema informaacutetico lo que queremos proteger son sus activos es decir los recursos que forman parte del sistema y que podemos agrupar enbull - Hardware - Software
bull - Datos - Otros
bull Los mas criacuteticos son los datos el hardware y el software Es decir los datos que estaacuten almacenados en el hardware y que son procesados por las aplicaciones software
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 37
Vulnerabilidad
bull Es la debilidad de cualquier tipo que compromete la seguridad del sistema informaacutetico
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 38
Disentildeobull Debilidad en el disentildeo de protocolos utilizados en las redes
bull Poliacuteticas de seguridad deficientes e inexistentes
Implementacioacuten
bull Errores de programacioacuten
bull Existencia de ldquopuertas traserasrdquo en los sistemas informaacuteticos
bull Descuido de los fabricantes
Uso
bull Mala configuracioacuten de los sistemas informaacuteticos
bull Desconocimiento y falta de sensibilizacioacuten de los usuarios y de los responsables de informaacutetica
bull Disponibilidad de herramientas que facilitan los ataques
bull Limitacioacuten gubernamental de tecnologiacuteas de seguridad
Vulnerabilidades conocidas
bull Firewall
bull Antivirus
bull Malware
bull Antispy
bull Protocolos de encriptacioacuten
bull Firmas digitales
bull Monitoreo de redes (Comunity Manager)
Consisten en ataques
intercepciones de datos y enviacuteo de
informacioacuten usurpando identidad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 39
Vulnerabilidades
bull Ataques contra el flujo de la informacioacuten FLUJO NORMAL
Los mensajes en una red se enviacutean a partir de un emisor a uno o varios receptores
El atacante es un tercer elemento en la realidad existen millones de elementos atacantesintencionales o accidentales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 40
Emisor Receptor
Atacante
bull INTERRUPCIONbull El mensaje no puede llegar a su destino un recurso del sistema es destruido o
temporalmente inutilizado
bull Este es un ataque contra la Disponibilidad
bull Ejemplos Destruccioacuten de una pieza de hardware cortar los medios de comunicacioacuten o deshabilitar los sistemas de administracioacuten de archivos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 41
Vulnerabilidades
Emisor
Atacante
Receptor
Vulnerabilidades
bull INTERCEPCIONbull Una persona computadora o programa sin autorizacioacuten logra el acceso a un
recurso controlado
bull Es un ataque contra la Confidencialidad
bull Ejemplos Escuchas electroacutenicos copias iliacutecitas de programas o datos escalamiento de privilegios
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 42
Emisor
Atacante
Receptor
Vulnerabilidades
bull MODIFICACIONbull La persona sin autorizacioacuten ademaacutes de lograr el acceso modifica el mensaje
bull Este es un ataque contra la Integridad
bull Ejemplos Alterar la informacioacuten que se transmite desde una base de datos modificar los mensajes entre programas para que se comporten diferente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 43
bull FABRICACIONbull Una persona sin autorizacioacuten inserta objetos falsos en el sistemabull Es un ataque contra la Autenticidadbull Ejemplos Suplantacioacuten de identidades robo de sesiones robo de contrasentildeas
robo de direcciones IP etcbull Es muy difiacutecil estar seguro de quieacuten esta al otro lado de la liacutenea
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 44
Vulnerabilidades
Emisor
Atacante
Receptor
iquestQuienes Atacan los Sistemas
Gobiernos Extranjeros
Espiacuteas industriales o poliacuteticos
Criminales
Empleados descontentos y abusos internos
Adolescentes sin nada que hacer
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 45
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 46
Estado del ataque Ejemplo de Acciones
1-Buacutesqueda de Ingreso Correr un scanner de puertos
2-Penetracioacuten Explorar un sistema sin parches de seguridad
3-Elevacioacuten de Privilegios Lograr cuenta de Administrador
5-Enmascaramiento Borrado de rastros del ingreso y ataque
4-Ataque en si mismo Robo de datos destruccioacuten del sitio web etc
INTRUSO
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 47
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 48
Actuacioacuten del Criminal
bull Se requieren talentos especiales
bull El fraude ha crecido gracias a la aparicioacuten de las computadoras
Mitos
bull Dinero
bull Satisfaccioacuten (egocentrismo)
bull Ideologiacutea
bull Psicosis
Motivaciones personales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 49
bull Ambiente de trabajo
bull Prestaciones
bull Nivel de confianza interpersonal
bull Eacutetica ambiental
bull Nivel de stress
bull AMBIENTE DE CONTROL INTERNO
Motivaciones ambientales
Ethical Hacking
Es una intrusioacuten eacutetica es la aplicacioacuten de herramientas de intrusioacuten penetracioacuten robo personificacioacuten y negacioacuten de servicio llevado a cabo por hackers eacuteticos es decir personas con la experiencia y conocimiento suficiente para llevar a cabo estas pruebas en nombre de la organizacioacuten es decir de manera legal y prevista para determinar el nivel de seguridad de una red de equipos o servicios (incluido el aspecto de ingenieriacutea social)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 50
Ethical Hacking
bull al conocer el nivel de seguridad que se tiene en nuestra organizacioacuten es mucho maacutes sencillo no simple el tomar medidas que puedan subsanar estas deficienciasiquestPor queacute es
Importante
bull No al usar las armas que el enemigo usa es maacutes factible que podamos determinar el nivel de riesgo y por tanto la respuesta que debemos dar ante un ataque vieacutendolo como analogiacutea meacutedica es como cuando nos vacunan pues nos inoculan una versioacuten del virus del cual nos quieren hacer inmunes
iquestNo es contraproducente
bull Al contratar un servicio o realizarlo de manera interna estamos confiando en la eacutetica profesional de quien evaluacutea por lo que siacute siempre llevamos un riesgo pero se establece un contrato de buena fe hacieacutendolo suficientemente fiable (asegurando)iquestEs fiable
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 51
Ejemplos de Criacutemenes Electroacutenicos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 52
Ataque en 1986 de alemanes trabajando para la KGB contra sistemas estrateacutegicos de EEUU (Clifford Stoll Cuckooacutes egg)
El gusano Morris que se propagoacute por internet en 1988
causando un problema de DoS La causa fue la interrupcioacuten
causada por un programa escrito por Robert Tappan Morris
414 Gang enviacutea ataques contra los registros meacutedicos del
hospital para enfermos de caacutencer Sloan-Kettering
Ataques de Kevin Mitnick 1989-1996
Penetracioacuten de la red de Microsoft en octubre de 2000
por un cracker que ganoacute acceso a programas en desarrollo
Esparcimiento del Love Letter difundido por Onel Guzmaacuten en
Filipinas
53
DDoS contra Yahoo Amazon y Zdnet
Muacuteltiples problemas por virus desde
entonces
Target (Robo de informacioacuten de clientes
Identidad y datos financieros)
Juegos del Hambre
Ataque a Sony (Cyberterrorismo) y la
Respuesta con el apagoacuten de internet a
Korea del Norte
Carnabank (Europa oriental europa
occidental EEUU Panamaacute)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
Ejemplos de Criacutemenes Electroacutenicos
Algunas Clases de Ataques
Negacioacuten de Servicio (DoS)
Robo de contrasentildeas
Robo de identidad
Ingenieriacutea social
Defacement
FraudePirateriacutea de
softwareDumpster
divingCoacutedigo
MaliciosoIP spoofing
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 54
Algunas Clases de Ataques
EspionajeDestruccioacuten o alteracioacuten de informacioacuten
Uso de scripts de ataque
desarrolladosPhishing
Ciber -Terrorismo
War DialingWar
DrivingWalkingWar Chalking
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 55
El Caso Carbanak 1MMMUS$
La banda delictiva ciberneacutetica CARBANAK roba mil millones de doacutelares de 100 instituciones financieras en todo el mundo Kaspersky Lab la INTERPOL EUROPOL y autoridades de diferentes paiacuteses han unido sus fuerzas para dejar al descubierto el complot delictivo de un robo ciberneacutetico sin precedentes Hasta mil millones de doacutelares americanos fueron robados en cerca de dos antildeos de instituciones financieras en todo el mundo Los expertos informan que la responsabilidad del robo recae en una banda multinacional de ciberdelincuentesde Rusia Ucrania y otras partes de Europa asiacute como de China
La banda CARBANAK responsable del robo ciberneacutetico utilizoacute teacutecnicas extraiacutedas del arsenal de los ataques selectivos El complot marca el inicio de una nueva etapa en la evolucioacuten de la actividad de delincuencia ciberneacutetica donde usuarios maliciosos roban dinero directamente de los bancos y evitan concentrar sus ataques en los usuarios finales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 56
Comunicado de prensa 160215 - Karpersky
5705062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
MALWARE
El malware es un tipo de software que tiene como objetivo infiltrarse o dantildear un ordenador sistema de informacioacuten sin el consentimiento de su propietario
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 58
POPUP
bull Un pop-up es un tipo de ventana web que aparece delante de la ventana de un navegador al visitar una paacutegina web
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 59
VOLVER
ADWARE
bull Un programa de clase adware es cualquier programa que automaacuteticamente muestra publicidad web al usuario durante su instalacioacuten o durante su uso para generar lucro a sus autores
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 60
SPAM
bull Se llama spam correo basura a los mensajes no solicitados no deseados o de remitente no conocido habitualmente de tipo publicitario generalmente enviados
en grandes cantidades que perjudican al receptor
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 61
Bomba Loacutegica
Son programas informaacuteticos que se instala en un ordenador y permanece oculto hasta cumplirse una o maacutes condiciones preprogramadas para en ese momento ejecutar una accioacuten
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 62
volver
VIRUS DE MACROS
bull Es una secuencia de oacuterdenes de teclado y ratoacuten asignadas a una sola tecla Los virus de macros afectan a archivos y plantillas que los contienen hacieacutendose pasar por una macro y no actuaraacuten hasta que el archivo se abra o utilice
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 63
VOLVER
VIRUS RESIDENTES
bull Se colocan automaacuteticamente en la memoria RAM del ordenador De este modo pueden controlar e interceptar todas las operaciones llevadas a cabo por el sistema operativo infectando todos aquellos ficheros yo programas que sean ejecutados abiertos cerrados renombrados copiados etc
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 64
VIRUS DE ENLACE
bull Modifican las direcciones que permiten a nivel interno acceder a cada uno de los archivos existentes y como consecuencia no es posible localizarlos y trabajar con ellos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 65
VOLVER
VIRUS MUTANTES
bull Son virus que mutan es decir x Debido a estas mutaciones cada generacioacuten de virus es diferente a la versioacuten anterior dificultando asiacute su deteccioacuten y eliminacioacuten
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 66
VIRUS DE BOOT
bull Se activan en el momento en el que se arranca el ordenador desde un disco infectado ya sea desde el disco duro o desde una memoria USB
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 67
VOLVER
VIRUS DE PROGRAMA
bull Comuacutenmente infectan archivos con extensiones EXE COM OVL DRV BIN DLL y SYS
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 68
VOLVER
VIRUS DE SOBREESCRITURA
bull Sobre-escriben en el interior de los archivos atacados haciendo que se pierda el contenido de los mismos
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 69
Ataques de Seguridad
bull Spyware Es un software de computadoraque al instalarse intercepta o toma controlparcial de la interaccioacuten de lacomputadora y el usuario esto sin que elmismo se de cuenta Estos programaspueden recolectar diferentes tipos deinformacioacuten de los usuarios asiacute comoinstalar software adicional sin elconsentimiento de los mismos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 70
71
Herramientas de Seguridad
bull Gusano Es un programa de computadora quepuede replicarse a si mismo utiliza la red paraenviar copias de si mismo a otros nodos y lopuede hacer sin la intervencioacuten del usuario
A diferencia de los ldquovirusrdquo los gusanos nonecesitan estar amarrados a un programa y sufuncioacuten es principalmente dantildear la red (ejdesempentildeo) mientras que los virus dantildeanarchivos en computadoras
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
72
Ataques de Seguridad
bull Caballo de Troya Es una programa que seinstala bajo la creencia de que se estainstalando alguna otra cosa Los troyanosson programas muy utilizados parainstalar programas tipo ldquobackdoorsrdquo quepermiten el acceso no autorizado a lacomputadora atacada un ejemplo deprogramas tipo backdoor son losKeyloogers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
73
Ataques de Seguridad
bull DoS Denial of service- Ataques quehacen indisponible un servicio a losusuarios
bull DDoS Son conocidos como DNSBackbone Distributed Denial ofServices ndash Ataques tienen comoblanco los servidores raiacutez DNS por lotanto afectan uno de los pilares delInternet los nombres de los dominios
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
74
Ataques de Seguridad
bull Footprinting Teacutecnica utilizada para reunir informacioacuten acerca de sistemas computacionales y las entidades a las que pertenece algunos ejemplos son
- Domain queries
- Network queries
- Organizational queries
- TCP scans
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
75
Ataques de Seguridad
bull Fingerprinting Tambieacuten es conocidocomo TCPIP stack fingerprinting y esutilizado para determinar que sistemaoperativo utiliza alguacuten blanco en la redExiste dos tipos de fingerprinting
- Pasivo- Activo
NMAP es una herramienta que utilizafingerprinting activo para mapearpuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
76
Ataques de Seguridad
bull Escaneo de puertos El escaneo depuertos se basa en el FingerprintingActivo es decir transmite y recibesentildeales como ICMP TELNET SNMPdesde un blanco determinado en lared esto con el fin de obtenerinformacioacuten de dicho blanco en estecaso informacioacuten acerca de suspuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
77
Ataques de Seguridad
bull Sniffing Para llevar a cabo el sniffing esnecesario contar con un ldquopacket snifferrdquoque puede ser software instalado en unacomputadora o un dispositivoindependiente (appliance) estedispositivo es utilizado para interceptar yregistrar traacutefico que pasa a traveacutes de unared o de un segmento de la misma(Puede ser de una red ethernet owireless)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
78
Ataques de Seguridad
bull Spoofing Los ataques tipo spoofing sonaquellos en los que una persona oprograma logra hacerse pasar por otrafalsificando informacioacuten o utilizando laingenieriacutea algunos ataques tipo spoofingson los siguientes
- Falsificacioacuten de direccioacuten de email
- Falsificacioacuten de ID de llamadas telefoacutenicas
- Falsificacioacuten de sitios de internet (phishing)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
79
Ataques de Seguridad
bull Phishing Es el uso de teacutecnicas deingenieriacutea social con la finalidad deadquirir de manera fraudulentainformacioacuten confidencial comonombres de usuarios contrasentildeasinformacioacuten de tarjetas de creacutedito
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
80
Ataques de Seguridad
bull Ingenieriacutea Social Se refiere a unacoleccioacuten de teacutecnicas utilizadas paramanipular a las personas para querealicen alguna accioacuten o divulgueninformacioacuten confidencial
Algunos ingenieros sociales notablesson
- Kevin Mitnik
- Frank Abagnale
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
Ingenieriacutea Social
Es el conjunto de meacutetodos y praacutecticas usados para obtener informacioacuten de usuarios legiacutetimos y con la informacioacuten obtenida lograr acceso a sistemas protegidos siendo esta praacutectica de uso comuacuten entre piratas informaacuteticos y delincuentes computacionales
Coacutemo me afecta Al no validar las referencias o no seguir el protocolo de seguridad adecuado para divulgar contrasentildeas o cualquier otra informacioacuten sensible podemos ser coacutemplices de un crimen Meacutexico ha acordado con organismos internacionales la homologacioacuten yo adecuacioacuten de coacutedigos penales para que estos delitos sean perseguidos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 81
Ingenieriacutea Social
Coacutemo puedo saber si estoy siendo viacutectima de un ingeniero social Muy simple cuando alguien nos pide alguacuten tipo de informacioacuten privilegiada y esta persona es insistente cuando le requerimos seguir un protocolo para validar su intencioacuten es altamente probable que estemos siendo viacutectimas de un intento de robo de informacioacuten por un ingeniero socialhacker
Coacutemo puedo evitarlo Sencillo si no confiamos en la persona que nos solicita los datos (supongamos un teacutecnico de soporte de nuestro lugar de trabajo) podemos pedirle que nos deje sus datos y comunicarnos con el 10 minutos despueacutes de validar que la peticioacuten es legiacutetima es decir soacutelo sigamos los protocolos que existen en el trabajo y crear los propios en casa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 82
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra los Sistemas que Utilizan Tecnologiacuteas de Informacioacuten
bull Artiacuteculo 6 Acceso indebido
bull Artiacuteculo 7 Sabotaje o dantildeo a sistemas
bull Artiacuteculo 8 Favorecimiento culposo del sabotaje o dantildeo
bull Artiacuteculo 9 Acceso indebido o sabotaje a sistemas protegidos
bull Artiacuteculo 10 Posesioacuten de equipos o prestacioacuten de servicios de sabotaje
bull Artiacuteculo 11 Espionaje informaacutetico
bull Artiacuteculo 12 Falsificacioacuten de documentos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 83
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Propiedad
bull Artiacuteculo 13 Hurto
bull Artiacuteculo 14 Fraude
bull Artiacuteculo 15 Obtencioacuten indebida de bienes o servicios
bull Artiacuteculo 16 Manejo fraudulento de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 17 Apropiacioacuten de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 18 Provisioacuten indebida de bienes o servicios
bull Artiacuteculo 19 Posesioacuten de equipo para falsificaciones
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 84
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Privacidad de las Personas y de las Comunicaciones
bullArtiacuteculo 20 Violacioacuten de la privacidad de la data o informacioacuten de caraacutecter personal
bullArtiacuteculo 21 Violacioacuten de la privacidad de las comunicaciones
bullArtiacuteculo 22 Revelacioacuten indebida de data o informacioacuten de caraacutecter personal
De los Delitos Contra Nintildeos Nintildeas o Adolescentes
bullArtiacuteculo 23 Difusioacuten o exhibicioacuten de material pornograacutefico
bullArtiacuteculo 24 Exhibicioacuten pornograacutefica de nintildeos o adolescentes
De los Delitos Contra el Orden Econoacutemico
bullArtiacuteculo 25 Apropiacioacuten de propiedad intelectual
bullArtiacuteculo 26 Oferta engantildeosa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 85
Plan de Contingencia Continuidad Operacional
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 86
Plan de Contingencia
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 87
ldquoConjunto de Normas y Procedimientos documentadosy comunicados que tienen por objetivo minimizar los riesgos informaacuteticos mas probablesrdquo
InvolucrabullUso de herramientas
bullCumplimiento de Tareas por
parte de personas
Plan de Contingencia
Consta de tres subplanes independientes
bull Plan de Respaldo crear y conservar en un lugar seguro copias de seguridad de la informacioacuten
bull Pla de Emergencia queacute medidas tomar cuando se estaacute materializando una amenaza o cuando acaba de producirse
bull Plan de Recuperacioacuten medidas que se aplicaran cuando se ha producido un desastre El objetivo es evaluar el impacto y regresar lo antes posible
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 88
Plan de Contingencia
En la elaboracioacuten de este plan no se puede dejar por fuera a los miembros de la organizacioacuten el cual debe estar informado y entrenado para actuar en las funciones que le hayan sido encomendadas en caso de producirse una amenaza o impacto
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 89
Continuidad Operacional
Business Continuity Planning (Plan de Continuidad de negocios)
bull Plan Baacutesico
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Coldsite)
bull Plan Intermedio
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan Alto
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan de respuesta y continuidad de negocios alternativo (sin asistencia de sistemas)
bull Stress Testing al Plan
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 90
El Stress Testing
bull Poner a prueba el planbull Revise y evalueacute
bull Respaldosbull Oportunidad integridad y funcionalidadbull Custodia y transporte
bull Cold y Hotsitebull Funcionalidad accesibilidad y compatibilidadbull Actualizacioacuten oportuna (hotsite)
bull Personalbull Roles y funcionesbull Accesibilidad (contactos y comunicaciones)
bull Simulacioacuten de cataacutestrofesbull Sin previo aviso el director encargado del BCP se presenta en el centro de computo
cronometro en mano y baja la cuchilla de electricidad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 91
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de Lehman Brothers
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el WorldTrade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehman se desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del World Trade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehman teniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 92
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de LehmanBrothers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 93
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el World Trade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehmanse desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 94
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del WorldTrade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehmanteniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 95
La Contingencia Manual la Uacuteltima Frontera
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 96
05062015 97
DATOS BAacuteSICOS
Responsable A Nivel Corporativo Responsable(s) A Nivel Regional
PROVEEDOR (ES)
Origen Responsable Insumo (s)
RESULTADOS
Normas y Procedimientos Asociados Fecha uacuteltima revisioacuten Sistemas Aplicaciones Asociadas
Proceso
CALIFICACIOacuteN DE CONTROLES DE ENTRADA
Actividad
RECOMENDACIONES
Procesamiento
Automaacutetico (A)Manual (M)
Frecuencia
Adiestramiento Proceso Sistema N y P Otros
Negocio Area Localidad
Responsable
Nombre CargoNombre Cargo
NOMBRE
ELABORADO POR
CARGO FIRMA
Calidad de Data (B) Buena (R) Regular (M) Mala Oportunidad (AT) A Tiempo (R) Retrasada Revisioacuten Aprobacioacuten (S) Si (N) NoLEYENDA
Calificacioacuten (F) Fuerte (M) Medio (B) Bajo
DescripcioacutenResponsableDescripcioacuten
Tarea
Descripcioacuten
FRECUENCIA DE LA TAREA Diaria (D) Semanal (S) Mensual (M) Trimestral (T) Anual (A) Ocasional (O)
Soportes Recepcioacuten (P) Papel (E) Electroacutenico Archivo (S) Si (N) No Soportes Enviacuteo (S) Si (N) No Backup (S) Si (N) No
Producto (s) Cliente ReceptorControl
de salida
SoportesFrecuencia
Recepcioacuten Backup
DOCUMENTOS SISTEMAS ASOCIADOS A LOS CONTROLES
CALIFICACIOacuteN DE CONTROLES (por parte del Cliente Receptor)
Revisioacuten
Aprobacioacuten
Revisioacuten
AprobacioacutenTipo de control
Procesamiento
Automaacutetico (A)Manual (M)
Control
De EntradaTipo de control
Soportes
Recepcioacuten Archivo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 98
DATOS BAacuteSICOS
TareaActividad
Proceso Responsable del Proceso
Fecha de Elaboracioacuten 2015
Accioacuten (es) Responsable (s)
OBSERVACIONES ELABORADO POR
FIRMA
NOMBRE
Plan de recuperacioacuten y Reactivacioacuten de Finanzas
Recomendaciones Acciones
La Cadena de Valor de una Organizacioacuten de Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 99
ASESORAR EN CONTROLES DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR DELEGACIONES FINANCIERAS
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
CONTROLAR SEGURIDAD SISTEMA
OPERACIONALES ADMINISTRATIVOS Y OTROS
SISTEMAS FINANCIEROS
DESARROLLAR CONTROLES
DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR Y DESARROLLAR PLAN INTEGRAL DE CONTROL ( PIC )
Asesorar en controles de procesos normas y
Procedimientos
Administrar delegaciones financieras
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
Controlar seguridad sistema
operacionales administrativos y otros
sistemas financieros
Desarrollar
controles de
procesos
normas y
procedimientos
Administrar y desarrollar plan integral de control ( PIC )
Vulnerabilidad
bull Es la debilidad de cualquier tipo que compromete la seguridad del sistema informaacutetico
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 38
Disentildeobull Debilidad en el disentildeo de protocolos utilizados en las redes
bull Poliacuteticas de seguridad deficientes e inexistentes
Implementacioacuten
bull Errores de programacioacuten
bull Existencia de ldquopuertas traserasrdquo en los sistemas informaacuteticos
bull Descuido de los fabricantes
Uso
bull Mala configuracioacuten de los sistemas informaacuteticos
bull Desconocimiento y falta de sensibilizacioacuten de los usuarios y de los responsables de informaacutetica
bull Disponibilidad de herramientas que facilitan los ataques
bull Limitacioacuten gubernamental de tecnologiacuteas de seguridad
Vulnerabilidades conocidas
bull Firewall
bull Antivirus
bull Malware
bull Antispy
bull Protocolos de encriptacioacuten
bull Firmas digitales
bull Monitoreo de redes (Comunity Manager)
Consisten en ataques
intercepciones de datos y enviacuteo de
informacioacuten usurpando identidad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 39
Vulnerabilidades
bull Ataques contra el flujo de la informacioacuten FLUJO NORMAL
Los mensajes en una red se enviacutean a partir de un emisor a uno o varios receptores
El atacante es un tercer elemento en la realidad existen millones de elementos atacantesintencionales o accidentales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 40
Emisor Receptor
Atacante
bull INTERRUPCIONbull El mensaje no puede llegar a su destino un recurso del sistema es destruido o
temporalmente inutilizado
bull Este es un ataque contra la Disponibilidad
bull Ejemplos Destruccioacuten de una pieza de hardware cortar los medios de comunicacioacuten o deshabilitar los sistemas de administracioacuten de archivos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 41
Vulnerabilidades
Emisor
Atacante
Receptor
Vulnerabilidades
bull INTERCEPCIONbull Una persona computadora o programa sin autorizacioacuten logra el acceso a un
recurso controlado
bull Es un ataque contra la Confidencialidad
bull Ejemplos Escuchas electroacutenicos copias iliacutecitas de programas o datos escalamiento de privilegios
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 42
Emisor
Atacante
Receptor
Vulnerabilidades
bull MODIFICACIONbull La persona sin autorizacioacuten ademaacutes de lograr el acceso modifica el mensaje
bull Este es un ataque contra la Integridad
bull Ejemplos Alterar la informacioacuten que se transmite desde una base de datos modificar los mensajes entre programas para que se comporten diferente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 43
bull FABRICACIONbull Una persona sin autorizacioacuten inserta objetos falsos en el sistemabull Es un ataque contra la Autenticidadbull Ejemplos Suplantacioacuten de identidades robo de sesiones robo de contrasentildeas
robo de direcciones IP etcbull Es muy difiacutecil estar seguro de quieacuten esta al otro lado de la liacutenea
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 44
Vulnerabilidades
Emisor
Atacante
Receptor
iquestQuienes Atacan los Sistemas
Gobiernos Extranjeros
Espiacuteas industriales o poliacuteticos
Criminales
Empleados descontentos y abusos internos
Adolescentes sin nada que hacer
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 45
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 46
Estado del ataque Ejemplo de Acciones
1-Buacutesqueda de Ingreso Correr un scanner de puertos
2-Penetracioacuten Explorar un sistema sin parches de seguridad
3-Elevacioacuten de Privilegios Lograr cuenta de Administrador
5-Enmascaramiento Borrado de rastros del ingreso y ataque
4-Ataque en si mismo Robo de datos destruccioacuten del sitio web etc
INTRUSO
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 47
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 48
Actuacioacuten del Criminal
bull Se requieren talentos especiales
bull El fraude ha crecido gracias a la aparicioacuten de las computadoras
Mitos
bull Dinero
bull Satisfaccioacuten (egocentrismo)
bull Ideologiacutea
bull Psicosis
Motivaciones personales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 49
bull Ambiente de trabajo
bull Prestaciones
bull Nivel de confianza interpersonal
bull Eacutetica ambiental
bull Nivel de stress
bull AMBIENTE DE CONTROL INTERNO
Motivaciones ambientales
Ethical Hacking
Es una intrusioacuten eacutetica es la aplicacioacuten de herramientas de intrusioacuten penetracioacuten robo personificacioacuten y negacioacuten de servicio llevado a cabo por hackers eacuteticos es decir personas con la experiencia y conocimiento suficiente para llevar a cabo estas pruebas en nombre de la organizacioacuten es decir de manera legal y prevista para determinar el nivel de seguridad de una red de equipos o servicios (incluido el aspecto de ingenieriacutea social)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 50
Ethical Hacking
bull al conocer el nivel de seguridad que se tiene en nuestra organizacioacuten es mucho maacutes sencillo no simple el tomar medidas que puedan subsanar estas deficienciasiquestPor queacute es
Importante
bull No al usar las armas que el enemigo usa es maacutes factible que podamos determinar el nivel de riesgo y por tanto la respuesta que debemos dar ante un ataque vieacutendolo como analogiacutea meacutedica es como cuando nos vacunan pues nos inoculan una versioacuten del virus del cual nos quieren hacer inmunes
iquestNo es contraproducente
bull Al contratar un servicio o realizarlo de manera interna estamos confiando en la eacutetica profesional de quien evaluacutea por lo que siacute siempre llevamos un riesgo pero se establece un contrato de buena fe hacieacutendolo suficientemente fiable (asegurando)iquestEs fiable
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 51
Ejemplos de Criacutemenes Electroacutenicos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 52
Ataque en 1986 de alemanes trabajando para la KGB contra sistemas estrateacutegicos de EEUU (Clifford Stoll Cuckooacutes egg)
El gusano Morris que se propagoacute por internet en 1988
causando un problema de DoS La causa fue la interrupcioacuten
causada por un programa escrito por Robert Tappan Morris
414 Gang enviacutea ataques contra los registros meacutedicos del
hospital para enfermos de caacutencer Sloan-Kettering
Ataques de Kevin Mitnick 1989-1996
Penetracioacuten de la red de Microsoft en octubre de 2000
por un cracker que ganoacute acceso a programas en desarrollo
Esparcimiento del Love Letter difundido por Onel Guzmaacuten en
Filipinas
53
DDoS contra Yahoo Amazon y Zdnet
Muacuteltiples problemas por virus desde
entonces
Target (Robo de informacioacuten de clientes
Identidad y datos financieros)
Juegos del Hambre
Ataque a Sony (Cyberterrorismo) y la
Respuesta con el apagoacuten de internet a
Korea del Norte
Carnabank (Europa oriental europa
occidental EEUU Panamaacute)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
Ejemplos de Criacutemenes Electroacutenicos
Algunas Clases de Ataques
Negacioacuten de Servicio (DoS)
Robo de contrasentildeas
Robo de identidad
Ingenieriacutea social
Defacement
FraudePirateriacutea de
softwareDumpster
divingCoacutedigo
MaliciosoIP spoofing
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 54
Algunas Clases de Ataques
EspionajeDestruccioacuten o alteracioacuten de informacioacuten
Uso de scripts de ataque
desarrolladosPhishing
Ciber -Terrorismo
War DialingWar
DrivingWalkingWar Chalking
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 55
El Caso Carbanak 1MMMUS$
La banda delictiva ciberneacutetica CARBANAK roba mil millones de doacutelares de 100 instituciones financieras en todo el mundo Kaspersky Lab la INTERPOL EUROPOL y autoridades de diferentes paiacuteses han unido sus fuerzas para dejar al descubierto el complot delictivo de un robo ciberneacutetico sin precedentes Hasta mil millones de doacutelares americanos fueron robados en cerca de dos antildeos de instituciones financieras en todo el mundo Los expertos informan que la responsabilidad del robo recae en una banda multinacional de ciberdelincuentesde Rusia Ucrania y otras partes de Europa asiacute como de China
La banda CARBANAK responsable del robo ciberneacutetico utilizoacute teacutecnicas extraiacutedas del arsenal de los ataques selectivos El complot marca el inicio de una nueva etapa en la evolucioacuten de la actividad de delincuencia ciberneacutetica donde usuarios maliciosos roban dinero directamente de los bancos y evitan concentrar sus ataques en los usuarios finales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 56
Comunicado de prensa 160215 - Karpersky
5705062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
MALWARE
El malware es un tipo de software que tiene como objetivo infiltrarse o dantildear un ordenador sistema de informacioacuten sin el consentimiento de su propietario
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 58
POPUP
bull Un pop-up es un tipo de ventana web que aparece delante de la ventana de un navegador al visitar una paacutegina web
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 59
VOLVER
ADWARE
bull Un programa de clase adware es cualquier programa que automaacuteticamente muestra publicidad web al usuario durante su instalacioacuten o durante su uso para generar lucro a sus autores
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 60
SPAM
bull Se llama spam correo basura a los mensajes no solicitados no deseados o de remitente no conocido habitualmente de tipo publicitario generalmente enviados
en grandes cantidades que perjudican al receptor
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 61
Bomba Loacutegica
Son programas informaacuteticos que se instala en un ordenador y permanece oculto hasta cumplirse una o maacutes condiciones preprogramadas para en ese momento ejecutar una accioacuten
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 62
volver
VIRUS DE MACROS
bull Es una secuencia de oacuterdenes de teclado y ratoacuten asignadas a una sola tecla Los virus de macros afectan a archivos y plantillas que los contienen hacieacutendose pasar por una macro y no actuaraacuten hasta que el archivo se abra o utilice
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 63
VOLVER
VIRUS RESIDENTES
bull Se colocan automaacuteticamente en la memoria RAM del ordenador De este modo pueden controlar e interceptar todas las operaciones llevadas a cabo por el sistema operativo infectando todos aquellos ficheros yo programas que sean ejecutados abiertos cerrados renombrados copiados etc
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 64
VIRUS DE ENLACE
bull Modifican las direcciones que permiten a nivel interno acceder a cada uno de los archivos existentes y como consecuencia no es posible localizarlos y trabajar con ellos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 65
VOLVER
VIRUS MUTANTES
bull Son virus que mutan es decir x Debido a estas mutaciones cada generacioacuten de virus es diferente a la versioacuten anterior dificultando asiacute su deteccioacuten y eliminacioacuten
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 66
VIRUS DE BOOT
bull Se activan en el momento en el que se arranca el ordenador desde un disco infectado ya sea desde el disco duro o desde una memoria USB
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 67
VOLVER
VIRUS DE PROGRAMA
bull Comuacutenmente infectan archivos con extensiones EXE COM OVL DRV BIN DLL y SYS
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 68
VOLVER
VIRUS DE SOBREESCRITURA
bull Sobre-escriben en el interior de los archivos atacados haciendo que se pierda el contenido de los mismos
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 69
Ataques de Seguridad
bull Spyware Es un software de computadoraque al instalarse intercepta o toma controlparcial de la interaccioacuten de lacomputadora y el usuario esto sin que elmismo se de cuenta Estos programaspueden recolectar diferentes tipos deinformacioacuten de los usuarios asiacute comoinstalar software adicional sin elconsentimiento de los mismos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 70
71
Herramientas de Seguridad
bull Gusano Es un programa de computadora quepuede replicarse a si mismo utiliza la red paraenviar copias de si mismo a otros nodos y lopuede hacer sin la intervencioacuten del usuario
A diferencia de los ldquovirusrdquo los gusanos nonecesitan estar amarrados a un programa y sufuncioacuten es principalmente dantildear la red (ejdesempentildeo) mientras que los virus dantildeanarchivos en computadoras
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
72
Ataques de Seguridad
bull Caballo de Troya Es una programa que seinstala bajo la creencia de que se estainstalando alguna otra cosa Los troyanosson programas muy utilizados parainstalar programas tipo ldquobackdoorsrdquo quepermiten el acceso no autorizado a lacomputadora atacada un ejemplo deprogramas tipo backdoor son losKeyloogers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
73
Ataques de Seguridad
bull DoS Denial of service- Ataques quehacen indisponible un servicio a losusuarios
bull DDoS Son conocidos como DNSBackbone Distributed Denial ofServices ndash Ataques tienen comoblanco los servidores raiacutez DNS por lotanto afectan uno de los pilares delInternet los nombres de los dominios
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
74
Ataques de Seguridad
bull Footprinting Teacutecnica utilizada para reunir informacioacuten acerca de sistemas computacionales y las entidades a las que pertenece algunos ejemplos son
- Domain queries
- Network queries
- Organizational queries
- TCP scans
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
75
Ataques de Seguridad
bull Fingerprinting Tambieacuten es conocidocomo TCPIP stack fingerprinting y esutilizado para determinar que sistemaoperativo utiliza alguacuten blanco en la redExiste dos tipos de fingerprinting
- Pasivo- Activo
NMAP es una herramienta que utilizafingerprinting activo para mapearpuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
76
Ataques de Seguridad
bull Escaneo de puertos El escaneo depuertos se basa en el FingerprintingActivo es decir transmite y recibesentildeales como ICMP TELNET SNMPdesde un blanco determinado en lared esto con el fin de obtenerinformacioacuten de dicho blanco en estecaso informacioacuten acerca de suspuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
77
Ataques de Seguridad
bull Sniffing Para llevar a cabo el sniffing esnecesario contar con un ldquopacket snifferrdquoque puede ser software instalado en unacomputadora o un dispositivoindependiente (appliance) estedispositivo es utilizado para interceptar yregistrar traacutefico que pasa a traveacutes de unared o de un segmento de la misma(Puede ser de una red ethernet owireless)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
78
Ataques de Seguridad
bull Spoofing Los ataques tipo spoofing sonaquellos en los que una persona oprograma logra hacerse pasar por otrafalsificando informacioacuten o utilizando laingenieriacutea algunos ataques tipo spoofingson los siguientes
- Falsificacioacuten de direccioacuten de email
- Falsificacioacuten de ID de llamadas telefoacutenicas
- Falsificacioacuten de sitios de internet (phishing)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
79
Ataques de Seguridad
bull Phishing Es el uso de teacutecnicas deingenieriacutea social con la finalidad deadquirir de manera fraudulentainformacioacuten confidencial comonombres de usuarios contrasentildeasinformacioacuten de tarjetas de creacutedito
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
80
Ataques de Seguridad
bull Ingenieriacutea Social Se refiere a unacoleccioacuten de teacutecnicas utilizadas paramanipular a las personas para querealicen alguna accioacuten o divulgueninformacioacuten confidencial
Algunos ingenieros sociales notablesson
- Kevin Mitnik
- Frank Abagnale
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
Ingenieriacutea Social
Es el conjunto de meacutetodos y praacutecticas usados para obtener informacioacuten de usuarios legiacutetimos y con la informacioacuten obtenida lograr acceso a sistemas protegidos siendo esta praacutectica de uso comuacuten entre piratas informaacuteticos y delincuentes computacionales
Coacutemo me afecta Al no validar las referencias o no seguir el protocolo de seguridad adecuado para divulgar contrasentildeas o cualquier otra informacioacuten sensible podemos ser coacutemplices de un crimen Meacutexico ha acordado con organismos internacionales la homologacioacuten yo adecuacioacuten de coacutedigos penales para que estos delitos sean perseguidos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 81
Ingenieriacutea Social
Coacutemo puedo saber si estoy siendo viacutectima de un ingeniero social Muy simple cuando alguien nos pide alguacuten tipo de informacioacuten privilegiada y esta persona es insistente cuando le requerimos seguir un protocolo para validar su intencioacuten es altamente probable que estemos siendo viacutectimas de un intento de robo de informacioacuten por un ingeniero socialhacker
Coacutemo puedo evitarlo Sencillo si no confiamos en la persona que nos solicita los datos (supongamos un teacutecnico de soporte de nuestro lugar de trabajo) podemos pedirle que nos deje sus datos y comunicarnos con el 10 minutos despueacutes de validar que la peticioacuten es legiacutetima es decir soacutelo sigamos los protocolos que existen en el trabajo y crear los propios en casa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 82
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra los Sistemas que Utilizan Tecnologiacuteas de Informacioacuten
bull Artiacuteculo 6 Acceso indebido
bull Artiacuteculo 7 Sabotaje o dantildeo a sistemas
bull Artiacuteculo 8 Favorecimiento culposo del sabotaje o dantildeo
bull Artiacuteculo 9 Acceso indebido o sabotaje a sistemas protegidos
bull Artiacuteculo 10 Posesioacuten de equipos o prestacioacuten de servicios de sabotaje
bull Artiacuteculo 11 Espionaje informaacutetico
bull Artiacuteculo 12 Falsificacioacuten de documentos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 83
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Propiedad
bull Artiacuteculo 13 Hurto
bull Artiacuteculo 14 Fraude
bull Artiacuteculo 15 Obtencioacuten indebida de bienes o servicios
bull Artiacuteculo 16 Manejo fraudulento de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 17 Apropiacioacuten de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 18 Provisioacuten indebida de bienes o servicios
bull Artiacuteculo 19 Posesioacuten de equipo para falsificaciones
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 84
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Privacidad de las Personas y de las Comunicaciones
bullArtiacuteculo 20 Violacioacuten de la privacidad de la data o informacioacuten de caraacutecter personal
bullArtiacuteculo 21 Violacioacuten de la privacidad de las comunicaciones
bullArtiacuteculo 22 Revelacioacuten indebida de data o informacioacuten de caraacutecter personal
De los Delitos Contra Nintildeos Nintildeas o Adolescentes
bullArtiacuteculo 23 Difusioacuten o exhibicioacuten de material pornograacutefico
bullArtiacuteculo 24 Exhibicioacuten pornograacutefica de nintildeos o adolescentes
De los Delitos Contra el Orden Econoacutemico
bullArtiacuteculo 25 Apropiacioacuten de propiedad intelectual
bullArtiacuteculo 26 Oferta engantildeosa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 85
Plan de Contingencia Continuidad Operacional
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 86
Plan de Contingencia
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 87
ldquoConjunto de Normas y Procedimientos documentadosy comunicados que tienen por objetivo minimizar los riesgos informaacuteticos mas probablesrdquo
InvolucrabullUso de herramientas
bullCumplimiento de Tareas por
parte de personas
Plan de Contingencia
Consta de tres subplanes independientes
bull Plan de Respaldo crear y conservar en un lugar seguro copias de seguridad de la informacioacuten
bull Pla de Emergencia queacute medidas tomar cuando se estaacute materializando una amenaza o cuando acaba de producirse
bull Plan de Recuperacioacuten medidas que se aplicaran cuando se ha producido un desastre El objetivo es evaluar el impacto y regresar lo antes posible
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 88
Plan de Contingencia
En la elaboracioacuten de este plan no se puede dejar por fuera a los miembros de la organizacioacuten el cual debe estar informado y entrenado para actuar en las funciones que le hayan sido encomendadas en caso de producirse una amenaza o impacto
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 89
Continuidad Operacional
Business Continuity Planning (Plan de Continuidad de negocios)
bull Plan Baacutesico
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Coldsite)
bull Plan Intermedio
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan Alto
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan de respuesta y continuidad de negocios alternativo (sin asistencia de sistemas)
bull Stress Testing al Plan
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 90
El Stress Testing
bull Poner a prueba el planbull Revise y evalueacute
bull Respaldosbull Oportunidad integridad y funcionalidadbull Custodia y transporte
bull Cold y Hotsitebull Funcionalidad accesibilidad y compatibilidadbull Actualizacioacuten oportuna (hotsite)
bull Personalbull Roles y funcionesbull Accesibilidad (contactos y comunicaciones)
bull Simulacioacuten de cataacutestrofesbull Sin previo aviso el director encargado del BCP se presenta en el centro de computo
cronometro en mano y baja la cuchilla de electricidad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 91
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de Lehman Brothers
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el WorldTrade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehman se desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del World Trade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehman teniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 92
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de LehmanBrothers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 93
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el World Trade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehmanse desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 94
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del WorldTrade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehmanteniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 95
La Contingencia Manual la Uacuteltima Frontera
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 96
05062015 97
DATOS BAacuteSICOS
Responsable A Nivel Corporativo Responsable(s) A Nivel Regional
PROVEEDOR (ES)
Origen Responsable Insumo (s)
RESULTADOS
Normas y Procedimientos Asociados Fecha uacuteltima revisioacuten Sistemas Aplicaciones Asociadas
Proceso
CALIFICACIOacuteN DE CONTROLES DE ENTRADA
Actividad
RECOMENDACIONES
Procesamiento
Automaacutetico (A)Manual (M)
Frecuencia
Adiestramiento Proceso Sistema N y P Otros
Negocio Area Localidad
Responsable
Nombre CargoNombre Cargo
NOMBRE
ELABORADO POR
CARGO FIRMA
Calidad de Data (B) Buena (R) Regular (M) Mala Oportunidad (AT) A Tiempo (R) Retrasada Revisioacuten Aprobacioacuten (S) Si (N) NoLEYENDA
Calificacioacuten (F) Fuerte (M) Medio (B) Bajo
DescripcioacutenResponsableDescripcioacuten
Tarea
Descripcioacuten
FRECUENCIA DE LA TAREA Diaria (D) Semanal (S) Mensual (M) Trimestral (T) Anual (A) Ocasional (O)
Soportes Recepcioacuten (P) Papel (E) Electroacutenico Archivo (S) Si (N) No Soportes Enviacuteo (S) Si (N) No Backup (S) Si (N) No
Producto (s) Cliente ReceptorControl
de salida
SoportesFrecuencia
Recepcioacuten Backup
DOCUMENTOS SISTEMAS ASOCIADOS A LOS CONTROLES
CALIFICACIOacuteN DE CONTROLES (por parte del Cliente Receptor)
Revisioacuten
Aprobacioacuten
Revisioacuten
AprobacioacutenTipo de control
Procesamiento
Automaacutetico (A)Manual (M)
Control
De EntradaTipo de control
Soportes
Recepcioacuten Archivo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 98
DATOS BAacuteSICOS
TareaActividad
Proceso Responsable del Proceso
Fecha de Elaboracioacuten 2015
Accioacuten (es) Responsable (s)
OBSERVACIONES ELABORADO POR
FIRMA
NOMBRE
Plan de recuperacioacuten y Reactivacioacuten de Finanzas
Recomendaciones Acciones
La Cadena de Valor de una Organizacioacuten de Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 99
ASESORAR EN CONTROLES DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR DELEGACIONES FINANCIERAS
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
CONTROLAR SEGURIDAD SISTEMA
OPERACIONALES ADMINISTRATIVOS Y OTROS
SISTEMAS FINANCIEROS
DESARROLLAR CONTROLES
DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR Y DESARROLLAR PLAN INTEGRAL DE CONTROL ( PIC )
Asesorar en controles de procesos normas y
Procedimientos
Administrar delegaciones financieras
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
Controlar seguridad sistema
operacionales administrativos y otros
sistemas financieros
Desarrollar
controles de
procesos
normas y
procedimientos
Administrar y desarrollar plan integral de control ( PIC )
Vulnerabilidades conocidas
bull Firewall
bull Antivirus
bull Malware
bull Antispy
bull Protocolos de encriptacioacuten
bull Firmas digitales
bull Monitoreo de redes (Comunity Manager)
Consisten en ataques
intercepciones de datos y enviacuteo de
informacioacuten usurpando identidad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 39
Vulnerabilidades
bull Ataques contra el flujo de la informacioacuten FLUJO NORMAL
Los mensajes en una red se enviacutean a partir de un emisor a uno o varios receptores
El atacante es un tercer elemento en la realidad existen millones de elementos atacantesintencionales o accidentales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 40
Emisor Receptor
Atacante
bull INTERRUPCIONbull El mensaje no puede llegar a su destino un recurso del sistema es destruido o
temporalmente inutilizado
bull Este es un ataque contra la Disponibilidad
bull Ejemplos Destruccioacuten de una pieza de hardware cortar los medios de comunicacioacuten o deshabilitar los sistemas de administracioacuten de archivos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 41
Vulnerabilidades
Emisor
Atacante
Receptor
Vulnerabilidades
bull INTERCEPCIONbull Una persona computadora o programa sin autorizacioacuten logra el acceso a un
recurso controlado
bull Es un ataque contra la Confidencialidad
bull Ejemplos Escuchas electroacutenicos copias iliacutecitas de programas o datos escalamiento de privilegios
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 42
Emisor
Atacante
Receptor
Vulnerabilidades
bull MODIFICACIONbull La persona sin autorizacioacuten ademaacutes de lograr el acceso modifica el mensaje
bull Este es un ataque contra la Integridad
bull Ejemplos Alterar la informacioacuten que se transmite desde una base de datos modificar los mensajes entre programas para que se comporten diferente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 43
bull FABRICACIONbull Una persona sin autorizacioacuten inserta objetos falsos en el sistemabull Es un ataque contra la Autenticidadbull Ejemplos Suplantacioacuten de identidades robo de sesiones robo de contrasentildeas
robo de direcciones IP etcbull Es muy difiacutecil estar seguro de quieacuten esta al otro lado de la liacutenea
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 44
Vulnerabilidades
Emisor
Atacante
Receptor
iquestQuienes Atacan los Sistemas
Gobiernos Extranjeros
Espiacuteas industriales o poliacuteticos
Criminales
Empleados descontentos y abusos internos
Adolescentes sin nada que hacer
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 45
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 46
Estado del ataque Ejemplo de Acciones
1-Buacutesqueda de Ingreso Correr un scanner de puertos
2-Penetracioacuten Explorar un sistema sin parches de seguridad
3-Elevacioacuten de Privilegios Lograr cuenta de Administrador
5-Enmascaramiento Borrado de rastros del ingreso y ataque
4-Ataque en si mismo Robo de datos destruccioacuten del sitio web etc
INTRUSO
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 47
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 48
Actuacioacuten del Criminal
bull Se requieren talentos especiales
bull El fraude ha crecido gracias a la aparicioacuten de las computadoras
Mitos
bull Dinero
bull Satisfaccioacuten (egocentrismo)
bull Ideologiacutea
bull Psicosis
Motivaciones personales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 49
bull Ambiente de trabajo
bull Prestaciones
bull Nivel de confianza interpersonal
bull Eacutetica ambiental
bull Nivel de stress
bull AMBIENTE DE CONTROL INTERNO
Motivaciones ambientales
Ethical Hacking
Es una intrusioacuten eacutetica es la aplicacioacuten de herramientas de intrusioacuten penetracioacuten robo personificacioacuten y negacioacuten de servicio llevado a cabo por hackers eacuteticos es decir personas con la experiencia y conocimiento suficiente para llevar a cabo estas pruebas en nombre de la organizacioacuten es decir de manera legal y prevista para determinar el nivel de seguridad de una red de equipos o servicios (incluido el aspecto de ingenieriacutea social)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 50
Ethical Hacking
bull al conocer el nivel de seguridad que se tiene en nuestra organizacioacuten es mucho maacutes sencillo no simple el tomar medidas que puedan subsanar estas deficienciasiquestPor queacute es
Importante
bull No al usar las armas que el enemigo usa es maacutes factible que podamos determinar el nivel de riesgo y por tanto la respuesta que debemos dar ante un ataque vieacutendolo como analogiacutea meacutedica es como cuando nos vacunan pues nos inoculan una versioacuten del virus del cual nos quieren hacer inmunes
iquestNo es contraproducente
bull Al contratar un servicio o realizarlo de manera interna estamos confiando en la eacutetica profesional de quien evaluacutea por lo que siacute siempre llevamos un riesgo pero se establece un contrato de buena fe hacieacutendolo suficientemente fiable (asegurando)iquestEs fiable
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 51
Ejemplos de Criacutemenes Electroacutenicos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 52
Ataque en 1986 de alemanes trabajando para la KGB contra sistemas estrateacutegicos de EEUU (Clifford Stoll Cuckooacutes egg)
El gusano Morris que se propagoacute por internet en 1988
causando un problema de DoS La causa fue la interrupcioacuten
causada por un programa escrito por Robert Tappan Morris
414 Gang enviacutea ataques contra los registros meacutedicos del
hospital para enfermos de caacutencer Sloan-Kettering
Ataques de Kevin Mitnick 1989-1996
Penetracioacuten de la red de Microsoft en octubre de 2000
por un cracker que ganoacute acceso a programas en desarrollo
Esparcimiento del Love Letter difundido por Onel Guzmaacuten en
Filipinas
53
DDoS contra Yahoo Amazon y Zdnet
Muacuteltiples problemas por virus desde
entonces
Target (Robo de informacioacuten de clientes
Identidad y datos financieros)
Juegos del Hambre
Ataque a Sony (Cyberterrorismo) y la
Respuesta con el apagoacuten de internet a
Korea del Norte
Carnabank (Europa oriental europa
occidental EEUU Panamaacute)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
Ejemplos de Criacutemenes Electroacutenicos
Algunas Clases de Ataques
Negacioacuten de Servicio (DoS)
Robo de contrasentildeas
Robo de identidad
Ingenieriacutea social
Defacement
FraudePirateriacutea de
softwareDumpster
divingCoacutedigo
MaliciosoIP spoofing
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 54
Algunas Clases de Ataques
EspionajeDestruccioacuten o alteracioacuten de informacioacuten
Uso de scripts de ataque
desarrolladosPhishing
Ciber -Terrorismo
War DialingWar
DrivingWalkingWar Chalking
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 55
El Caso Carbanak 1MMMUS$
La banda delictiva ciberneacutetica CARBANAK roba mil millones de doacutelares de 100 instituciones financieras en todo el mundo Kaspersky Lab la INTERPOL EUROPOL y autoridades de diferentes paiacuteses han unido sus fuerzas para dejar al descubierto el complot delictivo de un robo ciberneacutetico sin precedentes Hasta mil millones de doacutelares americanos fueron robados en cerca de dos antildeos de instituciones financieras en todo el mundo Los expertos informan que la responsabilidad del robo recae en una banda multinacional de ciberdelincuentesde Rusia Ucrania y otras partes de Europa asiacute como de China
La banda CARBANAK responsable del robo ciberneacutetico utilizoacute teacutecnicas extraiacutedas del arsenal de los ataques selectivos El complot marca el inicio de una nueva etapa en la evolucioacuten de la actividad de delincuencia ciberneacutetica donde usuarios maliciosos roban dinero directamente de los bancos y evitan concentrar sus ataques en los usuarios finales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 56
Comunicado de prensa 160215 - Karpersky
5705062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
MALWARE
El malware es un tipo de software que tiene como objetivo infiltrarse o dantildear un ordenador sistema de informacioacuten sin el consentimiento de su propietario
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 58
POPUP
bull Un pop-up es un tipo de ventana web que aparece delante de la ventana de un navegador al visitar una paacutegina web
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 59
VOLVER
ADWARE
bull Un programa de clase adware es cualquier programa que automaacuteticamente muestra publicidad web al usuario durante su instalacioacuten o durante su uso para generar lucro a sus autores
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 60
SPAM
bull Se llama spam correo basura a los mensajes no solicitados no deseados o de remitente no conocido habitualmente de tipo publicitario generalmente enviados
en grandes cantidades que perjudican al receptor
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 61
Bomba Loacutegica
Son programas informaacuteticos que se instala en un ordenador y permanece oculto hasta cumplirse una o maacutes condiciones preprogramadas para en ese momento ejecutar una accioacuten
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 62
volver
VIRUS DE MACROS
bull Es una secuencia de oacuterdenes de teclado y ratoacuten asignadas a una sola tecla Los virus de macros afectan a archivos y plantillas que los contienen hacieacutendose pasar por una macro y no actuaraacuten hasta que el archivo se abra o utilice
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 63
VOLVER
VIRUS RESIDENTES
bull Se colocan automaacuteticamente en la memoria RAM del ordenador De este modo pueden controlar e interceptar todas las operaciones llevadas a cabo por el sistema operativo infectando todos aquellos ficheros yo programas que sean ejecutados abiertos cerrados renombrados copiados etc
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 64
VIRUS DE ENLACE
bull Modifican las direcciones que permiten a nivel interno acceder a cada uno de los archivos existentes y como consecuencia no es posible localizarlos y trabajar con ellos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 65
VOLVER
VIRUS MUTANTES
bull Son virus que mutan es decir x Debido a estas mutaciones cada generacioacuten de virus es diferente a la versioacuten anterior dificultando asiacute su deteccioacuten y eliminacioacuten
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 66
VIRUS DE BOOT
bull Se activan en el momento en el que se arranca el ordenador desde un disco infectado ya sea desde el disco duro o desde una memoria USB
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 67
VOLVER
VIRUS DE PROGRAMA
bull Comuacutenmente infectan archivos con extensiones EXE COM OVL DRV BIN DLL y SYS
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 68
VOLVER
VIRUS DE SOBREESCRITURA
bull Sobre-escriben en el interior de los archivos atacados haciendo que se pierda el contenido de los mismos
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 69
Ataques de Seguridad
bull Spyware Es un software de computadoraque al instalarse intercepta o toma controlparcial de la interaccioacuten de lacomputadora y el usuario esto sin que elmismo se de cuenta Estos programaspueden recolectar diferentes tipos deinformacioacuten de los usuarios asiacute comoinstalar software adicional sin elconsentimiento de los mismos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 70
71
Herramientas de Seguridad
bull Gusano Es un programa de computadora quepuede replicarse a si mismo utiliza la red paraenviar copias de si mismo a otros nodos y lopuede hacer sin la intervencioacuten del usuario
A diferencia de los ldquovirusrdquo los gusanos nonecesitan estar amarrados a un programa y sufuncioacuten es principalmente dantildear la red (ejdesempentildeo) mientras que los virus dantildeanarchivos en computadoras
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
72
Ataques de Seguridad
bull Caballo de Troya Es una programa que seinstala bajo la creencia de que se estainstalando alguna otra cosa Los troyanosson programas muy utilizados parainstalar programas tipo ldquobackdoorsrdquo quepermiten el acceso no autorizado a lacomputadora atacada un ejemplo deprogramas tipo backdoor son losKeyloogers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
73
Ataques de Seguridad
bull DoS Denial of service- Ataques quehacen indisponible un servicio a losusuarios
bull DDoS Son conocidos como DNSBackbone Distributed Denial ofServices ndash Ataques tienen comoblanco los servidores raiacutez DNS por lotanto afectan uno de los pilares delInternet los nombres de los dominios
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
74
Ataques de Seguridad
bull Footprinting Teacutecnica utilizada para reunir informacioacuten acerca de sistemas computacionales y las entidades a las que pertenece algunos ejemplos son
- Domain queries
- Network queries
- Organizational queries
- TCP scans
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
75
Ataques de Seguridad
bull Fingerprinting Tambieacuten es conocidocomo TCPIP stack fingerprinting y esutilizado para determinar que sistemaoperativo utiliza alguacuten blanco en la redExiste dos tipos de fingerprinting
- Pasivo- Activo
NMAP es una herramienta que utilizafingerprinting activo para mapearpuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
76
Ataques de Seguridad
bull Escaneo de puertos El escaneo depuertos se basa en el FingerprintingActivo es decir transmite y recibesentildeales como ICMP TELNET SNMPdesde un blanco determinado en lared esto con el fin de obtenerinformacioacuten de dicho blanco en estecaso informacioacuten acerca de suspuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
77
Ataques de Seguridad
bull Sniffing Para llevar a cabo el sniffing esnecesario contar con un ldquopacket snifferrdquoque puede ser software instalado en unacomputadora o un dispositivoindependiente (appliance) estedispositivo es utilizado para interceptar yregistrar traacutefico que pasa a traveacutes de unared o de un segmento de la misma(Puede ser de una red ethernet owireless)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
78
Ataques de Seguridad
bull Spoofing Los ataques tipo spoofing sonaquellos en los que una persona oprograma logra hacerse pasar por otrafalsificando informacioacuten o utilizando laingenieriacutea algunos ataques tipo spoofingson los siguientes
- Falsificacioacuten de direccioacuten de email
- Falsificacioacuten de ID de llamadas telefoacutenicas
- Falsificacioacuten de sitios de internet (phishing)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
79
Ataques de Seguridad
bull Phishing Es el uso de teacutecnicas deingenieriacutea social con la finalidad deadquirir de manera fraudulentainformacioacuten confidencial comonombres de usuarios contrasentildeasinformacioacuten de tarjetas de creacutedito
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
80
Ataques de Seguridad
bull Ingenieriacutea Social Se refiere a unacoleccioacuten de teacutecnicas utilizadas paramanipular a las personas para querealicen alguna accioacuten o divulgueninformacioacuten confidencial
Algunos ingenieros sociales notablesson
- Kevin Mitnik
- Frank Abagnale
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
Ingenieriacutea Social
Es el conjunto de meacutetodos y praacutecticas usados para obtener informacioacuten de usuarios legiacutetimos y con la informacioacuten obtenida lograr acceso a sistemas protegidos siendo esta praacutectica de uso comuacuten entre piratas informaacuteticos y delincuentes computacionales
Coacutemo me afecta Al no validar las referencias o no seguir el protocolo de seguridad adecuado para divulgar contrasentildeas o cualquier otra informacioacuten sensible podemos ser coacutemplices de un crimen Meacutexico ha acordado con organismos internacionales la homologacioacuten yo adecuacioacuten de coacutedigos penales para que estos delitos sean perseguidos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 81
Ingenieriacutea Social
Coacutemo puedo saber si estoy siendo viacutectima de un ingeniero social Muy simple cuando alguien nos pide alguacuten tipo de informacioacuten privilegiada y esta persona es insistente cuando le requerimos seguir un protocolo para validar su intencioacuten es altamente probable que estemos siendo viacutectimas de un intento de robo de informacioacuten por un ingeniero socialhacker
Coacutemo puedo evitarlo Sencillo si no confiamos en la persona que nos solicita los datos (supongamos un teacutecnico de soporte de nuestro lugar de trabajo) podemos pedirle que nos deje sus datos y comunicarnos con el 10 minutos despueacutes de validar que la peticioacuten es legiacutetima es decir soacutelo sigamos los protocolos que existen en el trabajo y crear los propios en casa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 82
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra los Sistemas que Utilizan Tecnologiacuteas de Informacioacuten
bull Artiacuteculo 6 Acceso indebido
bull Artiacuteculo 7 Sabotaje o dantildeo a sistemas
bull Artiacuteculo 8 Favorecimiento culposo del sabotaje o dantildeo
bull Artiacuteculo 9 Acceso indebido o sabotaje a sistemas protegidos
bull Artiacuteculo 10 Posesioacuten de equipos o prestacioacuten de servicios de sabotaje
bull Artiacuteculo 11 Espionaje informaacutetico
bull Artiacuteculo 12 Falsificacioacuten de documentos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 83
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Propiedad
bull Artiacuteculo 13 Hurto
bull Artiacuteculo 14 Fraude
bull Artiacuteculo 15 Obtencioacuten indebida de bienes o servicios
bull Artiacuteculo 16 Manejo fraudulento de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 17 Apropiacioacuten de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 18 Provisioacuten indebida de bienes o servicios
bull Artiacuteculo 19 Posesioacuten de equipo para falsificaciones
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 84
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Privacidad de las Personas y de las Comunicaciones
bullArtiacuteculo 20 Violacioacuten de la privacidad de la data o informacioacuten de caraacutecter personal
bullArtiacuteculo 21 Violacioacuten de la privacidad de las comunicaciones
bullArtiacuteculo 22 Revelacioacuten indebida de data o informacioacuten de caraacutecter personal
De los Delitos Contra Nintildeos Nintildeas o Adolescentes
bullArtiacuteculo 23 Difusioacuten o exhibicioacuten de material pornograacutefico
bullArtiacuteculo 24 Exhibicioacuten pornograacutefica de nintildeos o adolescentes
De los Delitos Contra el Orden Econoacutemico
bullArtiacuteculo 25 Apropiacioacuten de propiedad intelectual
bullArtiacuteculo 26 Oferta engantildeosa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 85
Plan de Contingencia Continuidad Operacional
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 86
Plan de Contingencia
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 87
ldquoConjunto de Normas y Procedimientos documentadosy comunicados que tienen por objetivo minimizar los riesgos informaacuteticos mas probablesrdquo
InvolucrabullUso de herramientas
bullCumplimiento de Tareas por
parte de personas
Plan de Contingencia
Consta de tres subplanes independientes
bull Plan de Respaldo crear y conservar en un lugar seguro copias de seguridad de la informacioacuten
bull Pla de Emergencia queacute medidas tomar cuando se estaacute materializando una amenaza o cuando acaba de producirse
bull Plan de Recuperacioacuten medidas que se aplicaran cuando se ha producido un desastre El objetivo es evaluar el impacto y regresar lo antes posible
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 88
Plan de Contingencia
En la elaboracioacuten de este plan no se puede dejar por fuera a los miembros de la organizacioacuten el cual debe estar informado y entrenado para actuar en las funciones que le hayan sido encomendadas en caso de producirse una amenaza o impacto
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 89
Continuidad Operacional
Business Continuity Planning (Plan de Continuidad de negocios)
bull Plan Baacutesico
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Coldsite)
bull Plan Intermedio
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan Alto
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan de respuesta y continuidad de negocios alternativo (sin asistencia de sistemas)
bull Stress Testing al Plan
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 90
El Stress Testing
bull Poner a prueba el planbull Revise y evalueacute
bull Respaldosbull Oportunidad integridad y funcionalidadbull Custodia y transporte
bull Cold y Hotsitebull Funcionalidad accesibilidad y compatibilidadbull Actualizacioacuten oportuna (hotsite)
bull Personalbull Roles y funcionesbull Accesibilidad (contactos y comunicaciones)
bull Simulacioacuten de cataacutestrofesbull Sin previo aviso el director encargado del BCP se presenta en el centro de computo
cronometro en mano y baja la cuchilla de electricidad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 91
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de Lehman Brothers
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el WorldTrade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehman se desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del World Trade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehman teniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 92
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de LehmanBrothers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 93
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el World Trade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehmanse desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 94
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del WorldTrade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehmanteniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 95
La Contingencia Manual la Uacuteltima Frontera
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 96
05062015 97
DATOS BAacuteSICOS
Responsable A Nivel Corporativo Responsable(s) A Nivel Regional
PROVEEDOR (ES)
Origen Responsable Insumo (s)
RESULTADOS
Normas y Procedimientos Asociados Fecha uacuteltima revisioacuten Sistemas Aplicaciones Asociadas
Proceso
CALIFICACIOacuteN DE CONTROLES DE ENTRADA
Actividad
RECOMENDACIONES
Procesamiento
Automaacutetico (A)Manual (M)
Frecuencia
Adiestramiento Proceso Sistema N y P Otros
Negocio Area Localidad
Responsable
Nombre CargoNombre Cargo
NOMBRE
ELABORADO POR
CARGO FIRMA
Calidad de Data (B) Buena (R) Regular (M) Mala Oportunidad (AT) A Tiempo (R) Retrasada Revisioacuten Aprobacioacuten (S) Si (N) NoLEYENDA
Calificacioacuten (F) Fuerte (M) Medio (B) Bajo
DescripcioacutenResponsableDescripcioacuten
Tarea
Descripcioacuten
FRECUENCIA DE LA TAREA Diaria (D) Semanal (S) Mensual (M) Trimestral (T) Anual (A) Ocasional (O)
Soportes Recepcioacuten (P) Papel (E) Electroacutenico Archivo (S) Si (N) No Soportes Enviacuteo (S) Si (N) No Backup (S) Si (N) No
Producto (s) Cliente ReceptorControl
de salida
SoportesFrecuencia
Recepcioacuten Backup
DOCUMENTOS SISTEMAS ASOCIADOS A LOS CONTROLES
CALIFICACIOacuteN DE CONTROLES (por parte del Cliente Receptor)
Revisioacuten
Aprobacioacuten
Revisioacuten
AprobacioacutenTipo de control
Procesamiento
Automaacutetico (A)Manual (M)
Control
De EntradaTipo de control
Soportes
Recepcioacuten Archivo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 98
DATOS BAacuteSICOS
TareaActividad
Proceso Responsable del Proceso
Fecha de Elaboracioacuten 2015
Accioacuten (es) Responsable (s)
OBSERVACIONES ELABORADO POR
FIRMA
NOMBRE
Plan de recuperacioacuten y Reactivacioacuten de Finanzas
Recomendaciones Acciones
La Cadena de Valor de una Organizacioacuten de Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 99
ASESORAR EN CONTROLES DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR DELEGACIONES FINANCIERAS
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
CONTROLAR SEGURIDAD SISTEMA
OPERACIONALES ADMINISTRATIVOS Y OTROS
SISTEMAS FINANCIEROS
DESARROLLAR CONTROLES
DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR Y DESARROLLAR PLAN INTEGRAL DE CONTROL ( PIC )
Asesorar en controles de procesos normas y
Procedimientos
Administrar delegaciones financieras
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
Controlar seguridad sistema
operacionales administrativos y otros
sistemas financieros
Desarrollar
controles de
procesos
normas y
procedimientos
Administrar y desarrollar plan integral de control ( PIC )
Vulnerabilidades
bull Ataques contra el flujo de la informacioacuten FLUJO NORMAL
Los mensajes en una red se enviacutean a partir de un emisor a uno o varios receptores
El atacante es un tercer elemento en la realidad existen millones de elementos atacantesintencionales o accidentales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 40
Emisor Receptor
Atacante
bull INTERRUPCIONbull El mensaje no puede llegar a su destino un recurso del sistema es destruido o
temporalmente inutilizado
bull Este es un ataque contra la Disponibilidad
bull Ejemplos Destruccioacuten de una pieza de hardware cortar los medios de comunicacioacuten o deshabilitar los sistemas de administracioacuten de archivos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 41
Vulnerabilidades
Emisor
Atacante
Receptor
Vulnerabilidades
bull INTERCEPCIONbull Una persona computadora o programa sin autorizacioacuten logra el acceso a un
recurso controlado
bull Es un ataque contra la Confidencialidad
bull Ejemplos Escuchas electroacutenicos copias iliacutecitas de programas o datos escalamiento de privilegios
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 42
Emisor
Atacante
Receptor
Vulnerabilidades
bull MODIFICACIONbull La persona sin autorizacioacuten ademaacutes de lograr el acceso modifica el mensaje
bull Este es un ataque contra la Integridad
bull Ejemplos Alterar la informacioacuten que se transmite desde una base de datos modificar los mensajes entre programas para que se comporten diferente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 43
bull FABRICACIONbull Una persona sin autorizacioacuten inserta objetos falsos en el sistemabull Es un ataque contra la Autenticidadbull Ejemplos Suplantacioacuten de identidades robo de sesiones robo de contrasentildeas
robo de direcciones IP etcbull Es muy difiacutecil estar seguro de quieacuten esta al otro lado de la liacutenea
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 44
Vulnerabilidades
Emisor
Atacante
Receptor
iquestQuienes Atacan los Sistemas
Gobiernos Extranjeros
Espiacuteas industriales o poliacuteticos
Criminales
Empleados descontentos y abusos internos
Adolescentes sin nada que hacer
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 45
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 46
Estado del ataque Ejemplo de Acciones
1-Buacutesqueda de Ingreso Correr un scanner de puertos
2-Penetracioacuten Explorar un sistema sin parches de seguridad
3-Elevacioacuten de Privilegios Lograr cuenta de Administrador
5-Enmascaramiento Borrado de rastros del ingreso y ataque
4-Ataque en si mismo Robo de datos destruccioacuten del sitio web etc
INTRUSO
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 47
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 48
Actuacioacuten del Criminal
bull Se requieren talentos especiales
bull El fraude ha crecido gracias a la aparicioacuten de las computadoras
Mitos
bull Dinero
bull Satisfaccioacuten (egocentrismo)
bull Ideologiacutea
bull Psicosis
Motivaciones personales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 49
bull Ambiente de trabajo
bull Prestaciones
bull Nivel de confianza interpersonal
bull Eacutetica ambiental
bull Nivel de stress
bull AMBIENTE DE CONTROL INTERNO
Motivaciones ambientales
Ethical Hacking
Es una intrusioacuten eacutetica es la aplicacioacuten de herramientas de intrusioacuten penetracioacuten robo personificacioacuten y negacioacuten de servicio llevado a cabo por hackers eacuteticos es decir personas con la experiencia y conocimiento suficiente para llevar a cabo estas pruebas en nombre de la organizacioacuten es decir de manera legal y prevista para determinar el nivel de seguridad de una red de equipos o servicios (incluido el aspecto de ingenieriacutea social)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 50
Ethical Hacking
bull al conocer el nivel de seguridad que se tiene en nuestra organizacioacuten es mucho maacutes sencillo no simple el tomar medidas que puedan subsanar estas deficienciasiquestPor queacute es
Importante
bull No al usar las armas que el enemigo usa es maacutes factible que podamos determinar el nivel de riesgo y por tanto la respuesta que debemos dar ante un ataque vieacutendolo como analogiacutea meacutedica es como cuando nos vacunan pues nos inoculan una versioacuten del virus del cual nos quieren hacer inmunes
iquestNo es contraproducente
bull Al contratar un servicio o realizarlo de manera interna estamos confiando en la eacutetica profesional de quien evaluacutea por lo que siacute siempre llevamos un riesgo pero se establece un contrato de buena fe hacieacutendolo suficientemente fiable (asegurando)iquestEs fiable
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 51
Ejemplos de Criacutemenes Electroacutenicos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 52
Ataque en 1986 de alemanes trabajando para la KGB contra sistemas estrateacutegicos de EEUU (Clifford Stoll Cuckooacutes egg)
El gusano Morris que se propagoacute por internet en 1988
causando un problema de DoS La causa fue la interrupcioacuten
causada por un programa escrito por Robert Tappan Morris
414 Gang enviacutea ataques contra los registros meacutedicos del
hospital para enfermos de caacutencer Sloan-Kettering
Ataques de Kevin Mitnick 1989-1996
Penetracioacuten de la red de Microsoft en octubre de 2000
por un cracker que ganoacute acceso a programas en desarrollo
Esparcimiento del Love Letter difundido por Onel Guzmaacuten en
Filipinas
53
DDoS contra Yahoo Amazon y Zdnet
Muacuteltiples problemas por virus desde
entonces
Target (Robo de informacioacuten de clientes
Identidad y datos financieros)
Juegos del Hambre
Ataque a Sony (Cyberterrorismo) y la
Respuesta con el apagoacuten de internet a
Korea del Norte
Carnabank (Europa oriental europa
occidental EEUU Panamaacute)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
Ejemplos de Criacutemenes Electroacutenicos
Algunas Clases de Ataques
Negacioacuten de Servicio (DoS)
Robo de contrasentildeas
Robo de identidad
Ingenieriacutea social
Defacement
FraudePirateriacutea de
softwareDumpster
divingCoacutedigo
MaliciosoIP spoofing
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 54
Algunas Clases de Ataques
EspionajeDestruccioacuten o alteracioacuten de informacioacuten
Uso de scripts de ataque
desarrolladosPhishing
Ciber -Terrorismo
War DialingWar
DrivingWalkingWar Chalking
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 55
El Caso Carbanak 1MMMUS$
La banda delictiva ciberneacutetica CARBANAK roba mil millones de doacutelares de 100 instituciones financieras en todo el mundo Kaspersky Lab la INTERPOL EUROPOL y autoridades de diferentes paiacuteses han unido sus fuerzas para dejar al descubierto el complot delictivo de un robo ciberneacutetico sin precedentes Hasta mil millones de doacutelares americanos fueron robados en cerca de dos antildeos de instituciones financieras en todo el mundo Los expertos informan que la responsabilidad del robo recae en una banda multinacional de ciberdelincuentesde Rusia Ucrania y otras partes de Europa asiacute como de China
La banda CARBANAK responsable del robo ciberneacutetico utilizoacute teacutecnicas extraiacutedas del arsenal de los ataques selectivos El complot marca el inicio de una nueva etapa en la evolucioacuten de la actividad de delincuencia ciberneacutetica donde usuarios maliciosos roban dinero directamente de los bancos y evitan concentrar sus ataques en los usuarios finales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 56
Comunicado de prensa 160215 - Karpersky
5705062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
MALWARE
El malware es un tipo de software que tiene como objetivo infiltrarse o dantildear un ordenador sistema de informacioacuten sin el consentimiento de su propietario
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 58
POPUP
bull Un pop-up es un tipo de ventana web que aparece delante de la ventana de un navegador al visitar una paacutegina web
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 59
VOLVER
ADWARE
bull Un programa de clase adware es cualquier programa que automaacuteticamente muestra publicidad web al usuario durante su instalacioacuten o durante su uso para generar lucro a sus autores
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 60
SPAM
bull Se llama spam correo basura a los mensajes no solicitados no deseados o de remitente no conocido habitualmente de tipo publicitario generalmente enviados
en grandes cantidades que perjudican al receptor
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 61
Bomba Loacutegica
Son programas informaacuteticos que se instala en un ordenador y permanece oculto hasta cumplirse una o maacutes condiciones preprogramadas para en ese momento ejecutar una accioacuten
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 62
volver
VIRUS DE MACROS
bull Es una secuencia de oacuterdenes de teclado y ratoacuten asignadas a una sola tecla Los virus de macros afectan a archivos y plantillas que los contienen hacieacutendose pasar por una macro y no actuaraacuten hasta que el archivo se abra o utilice
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 63
VOLVER
VIRUS RESIDENTES
bull Se colocan automaacuteticamente en la memoria RAM del ordenador De este modo pueden controlar e interceptar todas las operaciones llevadas a cabo por el sistema operativo infectando todos aquellos ficheros yo programas que sean ejecutados abiertos cerrados renombrados copiados etc
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 64
VIRUS DE ENLACE
bull Modifican las direcciones que permiten a nivel interno acceder a cada uno de los archivos existentes y como consecuencia no es posible localizarlos y trabajar con ellos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 65
VOLVER
VIRUS MUTANTES
bull Son virus que mutan es decir x Debido a estas mutaciones cada generacioacuten de virus es diferente a la versioacuten anterior dificultando asiacute su deteccioacuten y eliminacioacuten
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 66
VIRUS DE BOOT
bull Se activan en el momento en el que se arranca el ordenador desde un disco infectado ya sea desde el disco duro o desde una memoria USB
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 67
VOLVER
VIRUS DE PROGRAMA
bull Comuacutenmente infectan archivos con extensiones EXE COM OVL DRV BIN DLL y SYS
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 68
VOLVER
VIRUS DE SOBREESCRITURA
bull Sobre-escriben en el interior de los archivos atacados haciendo que se pierda el contenido de los mismos
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 69
Ataques de Seguridad
bull Spyware Es un software de computadoraque al instalarse intercepta o toma controlparcial de la interaccioacuten de lacomputadora y el usuario esto sin que elmismo se de cuenta Estos programaspueden recolectar diferentes tipos deinformacioacuten de los usuarios asiacute comoinstalar software adicional sin elconsentimiento de los mismos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 70
71
Herramientas de Seguridad
bull Gusano Es un programa de computadora quepuede replicarse a si mismo utiliza la red paraenviar copias de si mismo a otros nodos y lopuede hacer sin la intervencioacuten del usuario
A diferencia de los ldquovirusrdquo los gusanos nonecesitan estar amarrados a un programa y sufuncioacuten es principalmente dantildear la red (ejdesempentildeo) mientras que los virus dantildeanarchivos en computadoras
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
72
Ataques de Seguridad
bull Caballo de Troya Es una programa que seinstala bajo la creencia de que se estainstalando alguna otra cosa Los troyanosson programas muy utilizados parainstalar programas tipo ldquobackdoorsrdquo quepermiten el acceso no autorizado a lacomputadora atacada un ejemplo deprogramas tipo backdoor son losKeyloogers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
73
Ataques de Seguridad
bull DoS Denial of service- Ataques quehacen indisponible un servicio a losusuarios
bull DDoS Son conocidos como DNSBackbone Distributed Denial ofServices ndash Ataques tienen comoblanco los servidores raiacutez DNS por lotanto afectan uno de los pilares delInternet los nombres de los dominios
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
74
Ataques de Seguridad
bull Footprinting Teacutecnica utilizada para reunir informacioacuten acerca de sistemas computacionales y las entidades a las que pertenece algunos ejemplos son
- Domain queries
- Network queries
- Organizational queries
- TCP scans
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
75
Ataques de Seguridad
bull Fingerprinting Tambieacuten es conocidocomo TCPIP stack fingerprinting y esutilizado para determinar que sistemaoperativo utiliza alguacuten blanco en la redExiste dos tipos de fingerprinting
- Pasivo- Activo
NMAP es una herramienta que utilizafingerprinting activo para mapearpuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
76
Ataques de Seguridad
bull Escaneo de puertos El escaneo depuertos se basa en el FingerprintingActivo es decir transmite y recibesentildeales como ICMP TELNET SNMPdesde un blanco determinado en lared esto con el fin de obtenerinformacioacuten de dicho blanco en estecaso informacioacuten acerca de suspuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
77
Ataques de Seguridad
bull Sniffing Para llevar a cabo el sniffing esnecesario contar con un ldquopacket snifferrdquoque puede ser software instalado en unacomputadora o un dispositivoindependiente (appliance) estedispositivo es utilizado para interceptar yregistrar traacutefico que pasa a traveacutes de unared o de un segmento de la misma(Puede ser de una red ethernet owireless)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
78
Ataques de Seguridad
bull Spoofing Los ataques tipo spoofing sonaquellos en los que una persona oprograma logra hacerse pasar por otrafalsificando informacioacuten o utilizando laingenieriacutea algunos ataques tipo spoofingson los siguientes
- Falsificacioacuten de direccioacuten de email
- Falsificacioacuten de ID de llamadas telefoacutenicas
- Falsificacioacuten de sitios de internet (phishing)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
79
Ataques de Seguridad
bull Phishing Es el uso de teacutecnicas deingenieriacutea social con la finalidad deadquirir de manera fraudulentainformacioacuten confidencial comonombres de usuarios contrasentildeasinformacioacuten de tarjetas de creacutedito
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
80
Ataques de Seguridad
bull Ingenieriacutea Social Se refiere a unacoleccioacuten de teacutecnicas utilizadas paramanipular a las personas para querealicen alguna accioacuten o divulgueninformacioacuten confidencial
Algunos ingenieros sociales notablesson
- Kevin Mitnik
- Frank Abagnale
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
Ingenieriacutea Social
Es el conjunto de meacutetodos y praacutecticas usados para obtener informacioacuten de usuarios legiacutetimos y con la informacioacuten obtenida lograr acceso a sistemas protegidos siendo esta praacutectica de uso comuacuten entre piratas informaacuteticos y delincuentes computacionales
Coacutemo me afecta Al no validar las referencias o no seguir el protocolo de seguridad adecuado para divulgar contrasentildeas o cualquier otra informacioacuten sensible podemos ser coacutemplices de un crimen Meacutexico ha acordado con organismos internacionales la homologacioacuten yo adecuacioacuten de coacutedigos penales para que estos delitos sean perseguidos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 81
Ingenieriacutea Social
Coacutemo puedo saber si estoy siendo viacutectima de un ingeniero social Muy simple cuando alguien nos pide alguacuten tipo de informacioacuten privilegiada y esta persona es insistente cuando le requerimos seguir un protocolo para validar su intencioacuten es altamente probable que estemos siendo viacutectimas de un intento de robo de informacioacuten por un ingeniero socialhacker
Coacutemo puedo evitarlo Sencillo si no confiamos en la persona que nos solicita los datos (supongamos un teacutecnico de soporte de nuestro lugar de trabajo) podemos pedirle que nos deje sus datos y comunicarnos con el 10 minutos despueacutes de validar que la peticioacuten es legiacutetima es decir soacutelo sigamos los protocolos que existen en el trabajo y crear los propios en casa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 82
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra los Sistemas que Utilizan Tecnologiacuteas de Informacioacuten
bull Artiacuteculo 6 Acceso indebido
bull Artiacuteculo 7 Sabotaje o dantildeo a sistemas
bull Artiacuteculo 8 Favorecimiento culposo del sabotaje o dantildeo
bull Artiacuteculo 9 Acceso indebido o sabotaje a sistemas protegidos
bull Artiacuteculo 10 Posesioacuten de equipos o prestacioacuten de servicios de sabotaje
bull Artiacuteculo 11 Espionaje informaacutetico
bull Artiacuteculo 12 Falsificacioacuten de documentos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 83
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Propiedad
bull Artiacuteculo 13 Hurto
bull Artiacuteculo 14 Fraude
bull Artiacuteculo 15 Obtencioacuten indebida de bienes o servicios
bull Artiacuteculo 16 Manejo fraudulento de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 17 Apropiacioacuten de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 18 Provisioacuten indebida de bienes o servicios
bull Artiacuteculo 19 Posesioacuten de equipo para falsificaciones
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 84
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Privacidad de las Personas y de las Comunicaciones
bullArtiacuteculo 20 Violacioacuten de la privacidad de la data o informacioacuten de caraacutecter personal
bullArtiacuteculo 21 Violacioacuten de la privacidad de las comunicaciones
bullArtiacuteculo 22 Revelacioacuten indebida de data o informacioacuten de caraacutecter personal
De los Delitos Contra Nintildeos Nintildeas o Adolescentes
bullArtiacuteculo 23 Difusioacuten o exhibicioacuten de material pornograacutefico
bullArtiacuteculo 24 Exhibicioacuten pornograacutefica de nintildeos o adolescentes
De los Delitos Contra el Orden Econoacutemico
bullArtiacuteculo 25 Apropiacioacuten de propiedad intelectual
bullArtiacuteculo 26 Oferta engantildeosa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 85
Plan de Contingencia Continuidad Operacional
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 86
Plan de Contingencia
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 87
ldquoConjunto de Normas y Procedimientos documentadosy comunicados que tienen por objetivo minimizar los riesgos informaacuteticos mas probablesrdquo
InvolucrabullUso de herramientas
bullCumplimiento de Tareas por
parte de personas
Plan de Contingencia
Consta de tres subplanes independientes
bull Plan de Respaldo crear y conservar en un lugar seguro copias de seguridad de la informacioacuten
bull Pla de Emergencia queacute medidas tomar cuando se estaacute materializando una amenaza o cuando acaba de producirse
bull Plan de Recuperacioacuten medidas que se aplicaran cuando se ha producido un desastre El objetivo es evaluar el impacto y regresar lo antes posible
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 88
Plan de Contingencia
En la elaboracioacuten de este plan no se puede dejar por fuera a los miembros de la organizacioacuten el cual debe estar informado y entrenado para actuar en las funciones que le hayan sido encomendadas en caso de producirse una amenaza o impacto
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 89
Continuidad Operacional
Business Continuity Planning (Plan de Continuidad de negocios)
bull Plan Baacutesico
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Coldsite)
bull Plan Intermedio
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan Alto
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan de respuesta y continuidad de negocios alternativo (sin asistencia de sistemas)
bull Stress Testing al Plan
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 90
El Stress Testing
bull Poner a prueba el planbull Revise y evalueacute
bull Respaldosbull Oportunidad integridad y funcionalidadbull Custodia y transporte
bull Cold y Hotsitebull Funcionalidad accesibilidad y compatibilidadbull Actualizacioacuten oportuna (hotsite)
bull Personalbull Roles y funcionesbull Accesibilidad (contactos y comunicaciones)
bull Simulacioacuten de cataacutestrofesbull Sin previo aviso el director encargado del BCP se presenta en el centro de computo
cronometro en mano y baja la cuchilla de electricidad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 91
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de Lehman Brothers
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el WorldTrade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehman se desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del World Trade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehman teniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 92
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de LehmanBrothers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 93
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el World Trade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehmanse desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 94
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del WorldTrade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehmanteniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 95
La Contingencia Manual la Uacuteltima Frontera
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 96
05062015 97
DATOS BAacuteSICOS
Responsable A Nivel Corporativo Responsable(s) A Nivel Regional
PROVEEDOR (ES)
Origen Responsable Insumo (s)
RESULTADOS
Normas y Procedimientos Asociados Fecha uacuteltima revisioacuten Sistemas Aplicaciones Asociadas
Proceso
CALIFICACIOacuteN DE CONTROLES DE ENTRADA
Actividad
RECOMENDACIONES
Procesamiento
Automaacutetico (A)Manual (M)
Frecuencia
Adiestramiento Proceso Sistema N y P Otros
Negocio Area Localidad
Responsable
Nombre CargoNombre Cargo
NOMBRE
ELABORADO POR
CARGO FIRMA
Calidad de Data (B) Buena (R) Regular (M) Mala Oportunidad (AT) A Tiempo (R) Retrasada Revisioacuten Aprobacioacuten (S) Si (N) NoLEYENDA
Calificacioacuten (F) Fuerte (M) Medio (B) Bajo
DescripcioacutenResponsableDescripcioacuten
Tarea
Descripcioacuten
FRECUENCIA DE LA TAREA Diaria (D) Semanal (S) Mensual (M) Trimestral (T) Anual (A) Ocasional (O)
Soportes Recepcioacuten (P) Papel (E) Electroacutenico Archivo (S) Si (N) No Soportes Enviacuteo (S) Si (N) No Backup (S) Si (N) No
Producto (s) Cliente ReceptorControl
de salida
SoportesFrecuencia
Recepcioacuten Backup
DOCUMENTOS SISTEMAS ASOCIADOS A LOS CONTROLES
CALIFICACIOacuteN DE CONTROLES (por parte del Cliente Receptor)
Revisioacuten
Aprobacioacuten
Revisioacuten
AprobacioacutenTipo de control
Procesamiento
Automaacutetico (A)Manual (M)
Control
De EntradaTipo de control
Soportes
Recepcioacuten Archivo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 98
DATOS BAacuteSICOS
TareaActividad
Proceso Responsable del Proceso
Fecha de Elaboracioacuten 2015
Accioacuten (es) Responsable (s)
OBSERVACIONES ELABORADO POR
FIRMA
NOMBRE
Plan de recuperacioacuten y Reactivacioacuten de Finanzas
Recomendaciones Acciones
La Cadena de Valor de una Organizacioacuten de Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 99
ASESORAR EN CONTROLES DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR DELEGACIONES FINANCIERAS
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
CONTROLAR SEGURIDAD SISTEMA
OPERACIONALES ADMINISTRATIVOS Y OTROS
SISTEMAS FINANCIEROS
DESARROLLAR CONTROLES
DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR Y DESARROLLAR PLAN INTEGRAL DE CONTROL ( PIC )
Asesorar en controles de procesos normas y
Procedimientos
Administrar delegaciones financieras
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
Controlar seguridad sistema
operacionales administrativos y otros
sistemas financieros
Desarrollar
controles de
procesos
normas y
procedimientos
Administrar y desarrollar plan integral de control ( PIC )
bull INTERRUPCIONbull El mensaje no puede llegar a su destino un recurso del sistema es destruido o
temporalmente inutilizado
bull Este es un ataque contra la Disponibilidad
bull Ejemplos Destruccioacuten de una pieza de hardware cortar los medios de comunicacioacuten o deshabilitar los sistemas de administracioacuten de archivos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 41
Vulnerabilidades
Emisor
Atacante
Receptor
Vulnerabilidades
bull INTERCEPCIONbull Una persona computadora o programa sin autorizacioacuten logra el acceso a un
recurso controlado
bull Es un ataque contra la Confidencialidad
bull Ejemplos Escuchas electroacutenicos copias iliacutecitas de programas o datos escalamiento de privilegios
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 42
Emisor
Atacante
Receptor
Vulnerabilidades
bull MODIFICACIONbull La persona sin autorizacioacuten ademaacutes de lograr el acceso modifica el mensaje
bull Este es un ataque contra la Integridad
bull Ejemplos Alterar la informacioacuten que se transmite desde una base de datos modificar los mensajes entre programas para que se comporten diferente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 43
bull FABRICACIONbull Una persona sin autorizacioacuten inserta objetos falsos en el sistemabull Es un ataque contra la Autenticidadbull Ejemplos Suplantacioacuten de identidades robo de sesiones robo de contrasentildeas
robo de direcciones IP etcbull Es muy difiacutecil estar seguro de quieacuten esta al otro lado de la liacutenea
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 44
Vulnerabilidades
Emisor
Atacante
Receptor
iquestQuienes Atacan los Sistemas
Gobiernos Extranjeros
Espiacuteas industriales o poliacuteticos
Criminales
Empleados descontentos y abusos internos
Adolescentes sin nada que hacer
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 45
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 46
Estado del ataque Ejemplo de Acciones
1-Buacutesqueda de Ingreso Correr un scanner de puertos
2-Penetracioacuten Explorar un sistema sin parches de seguridad
3-Elevacioacuten de Privilegios Lograr cuenta de Administrador
5-Enmascaramiento Borrado de rastros del ingreso y ataque
4-Ataque en si mismo Robo de datos destruccioacuten del sitio web etc
INTRUSO
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 47
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 48
Actuacioacuten del Criminal
bull Se requieren talentos especiales
bull El fraude ha crecido gracias a la aparicioacuten de las computadoras
Mitos
bull Dinero
bull Satisfaccioacuten (egocentrismo)
bull Ideologiacutea
bull Psicosis
Motivaciones personales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 49
bull Ambiente de trabajo
bull Prestaciones
bull Nivel de confianza interpersonal
bull Eacutetica ambiental
bull Nivel de stress
bull AMBIENTE DE CONTROL INTERNO
Motivaciones ambientales
Ethical Hacking
Es una intrusioacuten eacutetica es la aplicacioacuten de herramientas de intrusioacuten penetracioacuten robo personificacioacuten y negacioacuten de servicio llevado a cabo por hackers eacuteticos es decir personas con la experiencia y conocimiento suficiente para llevar a cabo estas pruebas en nombre de la organizacioacuten es decir de manera legal y prevista para determinar el nivel de seguridad de una red de equipos o servicios (incluido el aspecto de ingenieriacutea social)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 50
Ethical Hacking
bull al conocer el nivel de seguridad que se tiene en nuestra organizacioacuten es mucho maacutes sencillo no simple el tomar medidas que puedan subsanar estas deficienciasiquestPor queacute es
Importante
bull No al usar las armas que el enemigo usa es maacutes factible que podamos determinar el nivel de riesgo y por tanto la respuesta que debemos dar ante un ataque vieacutendolo como analogiacutea meacutedica es como cuando nos vacunan pues nos inoculan una versioacuten del virus del cual nos quieren hacer inmunes
iquestNo es contraproducente
bull Al contratar un servicio o realizarlo de manera interna estamos confiando en la eacutetica profesional de quien evaluacutea por lo que siacute siempre llevamos un riesgo pero se establece un contrato de buena fe hacieacutendolo suficientemente fiable (asegurando)iquestEs fiable
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 51
Ejemplos de Criacutemenes Electroacutenicos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 52
Ataque en 1986 de alemanes trabajando para la KGB contra sistemas estrateacutegicos de EEUU (Clifford Stoll Cuckooacutes egg)
El gusano Morris que se propagoacute por internet en 1988
causando un problema de DoS La causa fue la interrupcioacuten
causada por un programa escrito por Robert Tappan Morris
414 Gang enviacutea ataques contra los registros meacutedicos del
hospital para enfermos de caacutencer Sloan-Kettering
Ataques de Kevin Mitnick 1989-1996
Penetracioacuten de la red de Microsoft en octubre de 2000
por un cracker que ganoacute acceso a programas en desarrollo
Esparcimiento del Love Letter difundido por Onel Guzmaacuten en
Filipinas
53
DDoS contra Yahoo Amazon y Zdnet
Muacuteltiples problemas por virus desde
entonces
Target (Robo de informacioacuten de clientes
Identidad y datos financieros)
Juegos del Hambre
Ataque a Sony (Cyberterrorismo) y la
Respuesta con el apagoacuten de internet a
Korea del Norte
Carnabank (Europa oriental europa
occidental EEUU Panamaacute)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
Ejemplos de Criacutemenes Electroacutenicos
Algunas Clases de Ataques
Negacioacuten de Servicio (DoS)
Robo de contrasentildeas
Robo de identidad
Ingenieriacutea social
Defacement
FraudePirateriacutea de
softwareDumpster
divingCoacutedigo
MaliciosoIP spoofing
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 54
Algunas Clases de Ataques
EspionajeDestruccioacuten o alteracioacuten de informacioacuten
Uso de scripts de ataque
desarrolladosPhishing
Ciber -Terrorismo
War DialingWar
DrivingWalkingWar Chalking
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 55
El Caso Carbanak 1MMMUS$
La banda delictiva ciberneacutetica CARBANAK roba mil millones de doacutelares de 100 instituciones financieras en todo el mundo Kaspersky Lab la INTERPOL EUROPOL y autoridades de diferentes paiacuteses han unido sus fuerzas para dejar al descubierto el complot delictivo de un robo ciberneacutetico sin precedentes Hasta mil millones de doacutelares americanos fueron robados en cerca de dos antildeos de instituciones financieras en todo el mundo Los expertos informan que la responsabilidad del robo recae en una banda multinacional de ciberdelincuentesde Rusia Ucrania y otras partes de Europa asiacute como de China
La banda CARBANAK responsable del robo ciberneacutetico utilizoacute teacutecnicas extraiacutedas del arsenal de los ataques selectivos El complot marca el inicio de una nueva etapa en la evolucioacuten de la actividad de delincuencia ciberneacutetica donde usuarios maliciosos roban dinero directamente de los bancos y evitan concentrar sus ataques en los usuarios finales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 56
Comunicado de prensa 160215 - Karpersky
5705062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
MALWARE
El malware es un tipo de software que tiene como objetivo infiltrarse o dantildear un ordenador sistema de informacioacuten sin el consentimiento de su propietario
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 58
POPUP
bull Un pop-up es un tipo de ventana web que aparece delante de la ventana de un navegador al visitar una paacutegina web
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 59
VOLVER
ADWARE
bull Un programa de clase adware es cualquier programa que automaacuteticamente muestra publicidad web al usuario durante su instalacioacuten o durante su uso para generar lucro a sus autores
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 60
SPAM
bull Se llama spam correo basura a los mensajes no solicitados no deseados o de remitente no conocido habitualmente de tipo publicitario generalmente enviados
en grandes cantidades que perjudican al receptor
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 61
Bomba Loacutegica
Son programas informaacuteticos que se instala en un ordenador y permanece oculto hasta cumplirse una o maacutes condiciones preprogramadas para en ese momento ejecutar una accioacuten
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 62
volver
VIRUS DE MACROS
bull Es una secuencia de oacuterdenes de teclado y ratoacuten asignadas a una sola tecla Los virus de macros afectan a archivos y plantillas que los contienen hacieacutendose pasar por una macro y no actuaraacuten hasta que el archivo se abra o utilice
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 63
VOLVER
VIRUS RESIDENTES
bull Se colocan automaacuteticamente en la memoria RAM del ordenador De este modo pueden controlar e interceptar todas las operaciones llevadas a cabo por el sistema operativo infectando todos aquellos ficheros yo programas que sean ejecutados abiertos cerrados renombrados copiados etc
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 64
VIRUS DE ENLACE
bull Modifican las direcciones que permiten a nivel interno acceder a cada uno de los archivos existentes y como consecuencia no es posible localizarlos y trabajar con ellos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 65
VOLVER
VIRUS MUTANTES
bull Son virus que mutan es decir x Debido a estas mutaciones cada generacioacuten de virus es diferente a la versioacuten anterior dificultando asiacute su deteccioacuten y eliminacioacuten
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 66
VIRUS DE BOOT
bull Se activan en el momento en el que se arranca el ordenador desde un disco infectado ya sea desde el disco duro o desde una memoria USB
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 67
VOLVER
VIRUS DE PROGRAMA
bull Comuacutenmente infectan archivos con extensiones EXE COM OVL DRV BIN DLL y SYS
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 68
VOLVER
VIRUS DE SOBREESCRITURA
bull Sobre-escriben en el interior de los archivos atacados haciendo que se pierda el contenido de los mismos
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 69
Ataques de Seguridad
bull Spyware Es un software de computadoraque al instalarse intercepta o toma controlparcial de la interaccioacuten de lacomputadora y el usuario esto sin que elmismo se de cuenta Estos programaspueden recolectar diferentes tipos deinformacioacuten de los usuarios asiacute comoinstalar software adicional sin elconsentimiento de los mismos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 70
71
Herramientas de Seguridad
bull Gusano Es un programa de computadora quepuede replicarse a si mismo utiliza la red paraenviar copias de si mismo a otros nodos y lopuede hacer sin la intervencioacuten del usuario
A diferencia de los ldquovirusrdquo los gusanos nonecesitan estar amarrados a un programa y sufuncioacuten es principalmente dantildear la red (ejdesempentildeo) mientras que los virus dantildeanarchivos en computadoras
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
72
Ataques de Seguridad
bull Caballo de Troya Es una programa que seinstala bajo la creencia de que se estainstalando alguna otra cosa Los troyanosson programas muy utilizados parainstalar programas tipo ldquobackdoorsrdquo quepermiten el acceso no autorizado a lacomputadora atacada un ejemplo deprogramas tipo backdoor son losKeyloogers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
73
Ataques de Seguridad
bull DoS Denial of service- Ataques quehacen indisponible un servicio a losusuarios
bull DDoS Son conocidos como DNSBackbone Distributed Denial ofServices ndash Ataques tienen comoblanco los servidores raiacutez DNS por lotanto afectan uno de los pilares delInternet los nombres de los dominios
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
74
Ataques de Seguridad
bull Footprinting Teacutecnica utilizada para reunir informacioacuten acerca de sistemas computacionales y las entidades a las que pertenece algunos ejemplos son
- Domain queries
- Network queries
- Organizational queries
- TCP scans
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
75
Ataques de Seguridad
bull Fingerprinting Tambieacuten es conocidocomo TCPIP stack fingerprinting y esutilizado para determinar que sistemaoperativo utiliza alguacuten blanco en la redExiste dos tipos de fingerprinting
- Pasivo- Activo
NMAP es una herramienta que utilizafingerprinting activo para mapearpuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
76
Ataques de Seguridad
bull Escaneo de puertos El escaneo depuertos se basa en el FingerprintingActivo es decir transmite y recibesentildeales como ICMP TELNET SNMPdesde un blanco determinado en lared esto con el fin de obtenerinformacioacuten de dicho blanco en estecaso informacioacuten acerca de suspuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
77
Ataques de Seguridad
bull Sniffing Para llevar a cabo el sniffing esnecesario contar con un ldquopacket snifferrdquoque puede ser software instalado en unacomputadora o un dispositivoindependiente (appliance) estedispositivo es utilizado para interceptar yregistrar traacutefico que pasa a traveacutes de unared o de un segmento de la misma(Puede ser de una red ethernet owireless)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
78
Ataques de Seguridad
bull Spoofing Los ataques tipo spoofing sonaquellos en los que una persona oprograma logra hacerse pasar por otrafalsificando informacioacuten o utilizando laingenieriacutea algunos ataques tipo spoofingson los siguientes
- Falsificacioacuten de direccioacuten de email
- Falsificacioacuten de ID de llamadas telefoacutenicas
- Falsificacioacuten de sitios de internet (phishing)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
79
Ataques de Seguridad
bull Phishing Es el uso de teacutecnicas deingenieriacutea social con la finalidad deadquirir de manera fraudulentainformacioacuten confidencial comonombres de usuarios contrasentildeasinformacioacuten de tarjetas de creacutedito
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
80
Ataques de Seguridad
bull Ingenieriacutea Social Se refiere a unacoleccioacuten de teacutecnicas utilizadas paramanipular a las personas para querealicen alguna accioacuten o divulgueninformacioacuten confidencial
Algunos ingenieros sociales notablesson
- Kevin Mitnik
- Frank Abagnale
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
Ingenieriacutea Social
Es el conjunto de meacutetodos y praacutecticas usados para obtener informacioacuten de usuarios legiacutetimos y con la informacioacuten obtenida lograr acceso a sistemas protegidos siendo esta praacutectica de uso comuacuten entre piratas informaacuteticos y delincuentes computacionales
Coacutemo me afecta Al no validar las referencias o no seguir el protocolo de seguridad adecuado para divulgar contrasentildeas o cualquier otra informacioacuten sensible podemos ser coacutemplices de un crimen Meacutexico ha acordado con organismos internacionales la homologacioacuten yo adecuacioacuten de coacutedigos penales para que estos delitos sean perseguidos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 81
Ingenieriacutea Social
Coacutemo puedo saber si estoy siendo viacutectima de un ingeniero social Muy simple cuando alguien nos pide alguacuten tipo de informacioacuten privilegiada y esta persona es insistente cuando le requerimos seguir un protocolo para validar su intencioacuten es altamente probable que estemos siendo viacutectimas de un intento de robo de informacioacuten por un ingeniero socialhacker
Coacutemo puedo evitarlo Sencillo si no confiamos en la persona que nos solicita los datos (supongamos un teacutecnico de soporte de nuestro lugar de trabajo) podemos pedirle que nos deje sus datos y comunicarnos con el 10 minutos despueacutes de validar que la peticioacuten es legiacutetima es decir soacutelo sigamos los protocolos que existen en el trabajo y crear los propios en casa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 82
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra los Sistemas que Utilizan Tecnologiacuteas de Informacioacuten
bull Artiacuteculo 6 Acceso indebido
bull Artiacuteculo 7 Sabotaje o dantildeo a sistemas
bull Artiacuteculo 8 Favorecimiento culposo del sabotaje o dantildeo
bull Artiacuteculo 9 Acceso indebido o sabotaje a sistemas protegidos
bull Artiacuteculo 10 Posesioacuten de equipos o prestacioacuten de servicios de sabotaje
bull Artiacuteculo 11 Espionaje informaacutetico
bull Artiacuteculo 12 Falsificacioacuten de documentos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 83
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Propiedad
bull Artiacuteculo 13 Hurto
bull Artiacuteculo 14 Fraude
bull Artiacuteculo 15 Obtencioacuten indebida de bienes o servicios
bull Artiacuteculo 16 Manejo fraudulento de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 17 Apropiacioacuten de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 18 Provisioacuten indebida de bienes o servicios
bull Artiacuteculo 19 Posesioacuten de equipo para falsificaciones
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 84
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Privacidad de las Personas y de las Comunicaciones
bullArtiacuteculo 20 Violacioacuten de la privacidad de la data o informacioacuten de caraacutecter personal
bullArtiacuteculo 21 Violacioacuten de la privacidad de las comunicaciones
bullArtiacuteculo 22 Revelacioacuten indebida de data o informacioacuten de caraacutecter personal
De los Delitos Contra Nintildeos Nintildeas o Adolescentes
bullArtiacuteculo 23 Difusioacuten o exhibicioacuten de material pornograacutefico
bullArtiacuteculo 24 Exhibicioacuten pornograacutefica de nintildeos o adolescentes
De los Delitos Contra el Orden Econoacutemico
bullArtiacuteculo 25 Apropiacioacuten de propiedad intelectual
bullArtiacuteculo 26 Oferta engantildeosa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 85
Plan de Contingencia Continuidad Operacional
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 86
Plan de Contingencia
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 87
ldquoConjunto de Normas y Procedimientos documentadosy comunicados que tienen por objetivo minimizar los riesgos informaacuteticos mas probablesrdquo
InvolucrabullUso de herramientas
bullCumplimiento de Tareas por
parte de personas
Plan de Contingencia
Consta de tres subplanes independientes
bull Plan de Respaldo crear y conservar en un lugar seguro copias de seguridad de la informacioacuten
bull Pla de Emergencia queacute medidas tomar cuando se estaacute materializando una amenaza o cuando acaba de producirse
bull Plan de Recuperacioacuten medidas que se aplicaran cuando se ha producido un desastre El objetivo es evaluar el impacto y regresar lo antes posible
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 88
Plan de Contingencia
En la elaboracioacuten de este plan no se puede dejar por fuera a los miembros de la organizacioacuten el cual debe estar informado y entrenado para actuar en las funciones que le hayan sido encomendadas en caso de producirse una amenaza o impacto
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 89
Continuidad Operacional
Business Continuity Planning (Plan de Continuidad de negocios)
bull Plan Baacutesico
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Coldsite)
bull Plan Intermedio
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan Alto
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan de respuesta y continuidad de negocios alternativo (sin asistencia de sistemas)
bull Stress Testing al Plan
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 90
El Stress Testing
bull Poner a prueba el planbull Revise y evalueacute
bull Respaldosbull Oportunidad integridad y funcionalidadbull Custodia y transporte
bull Cold y Hotsitebull Funcionalidad accesibilidad y compatibilidadbull Actualizacioacuten oportuna (hotsite)
bull Personalbull Roles y funcionesbull Accesibilidad (contactos y comunicaciones)
bull Simulacioacuten de cataacutestrofesbull Sin previo aviso el director encargado del BCP se presenta en el centro de computo
cronometro en mano y baja la cuchilla de electricidad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 91
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de Lehman Brothers
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el WorldTrade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehman se desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del World Trade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehman teniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 92
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de LehmanBrothers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 93
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el World Trade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehmanse desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 94
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del WorldTrade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehmanteniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 95
La Contingencia Manual la Uacuteltima Frontera
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 96
05062015 97
DATOS BAacuteSICOS
Responsable A Nivel Corporativo Responsable(s) A Nivel Regional
PROVEEDOR (ES)
Origen Responsable Insumo (s)
RESULTADOS
Normas y Procedimientos Asociados Fecha uacuteltima revisioacuten Sistemas Aplicaciones Asociadas
Proceso
CALIFICACIOacuteN DE CONTROLES DE ENTRADA
Actividad
RECOMENDACIONES
Procesamiento
Automaacutetico (A)Manual (M)
Frecuencia
Adiestramiento Proceso Sistema N y P Otros
Negocio Area Localidad
Responsable
Nombre CargoNombre Cargo
NOMBRE
ELABORADO POR
CARGO FIRMA
Calidad de Data (B) Buena (R) Regular (M) Mala Oportunidad (AT) A Tiempo (R) Retrasada Revisioacuten Aprobacioacuten (S) Si (N) NoLEYENDA
Calificacioacuten (F) Fuerte (M) Medio (B) Bajo
DescripcioacutenResponsableDescripcioacuten
Tarea
Descripcioacuten
FRECUENCIA DE LA TAREA Diaria (D) Semanal (S) Mensual (M) Trimestral (T) Anual (A) Ocasional (O)
Soportes Recepcioacuten (P) Papel (E) Electroacutenico Archivo (S) Si (N) No Soportes Enviacuteo (S) Si (N) No Backup (S) Si (N) No
Producto (s) Cliente ReceptorControl
de salida
SoportesFrecuencia
Recepcioacuten Backup
DOCUMENTOS SISTEMAS ASOCIADOS A LOS CONTROLES
CALIFICACIOacuteN DE CONTROLES (por parte del Cliente Receptor)
Revisioacuten
Aprobacioacuten
Revisioacuten
AprobacioacutenTipo de control
Procesamiento
Automaacutetico (A)Manual (M)
Control
De EntradaTipo de control
Soportes
Recepcioacuten Archivo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 98
DATOS BAacuteSICOS
TareaActividad
Proceso Responsable del Proceso
Fecha de Elaboracioacuten 2015
Accioacuten (es) Responsable (s)
OBSERVACIONES ELABORADO POR
FIRMA
NOMBRE
Plan de recuperacioacuten y Reactivacioacuten de Finanzas
Recomendaciones Acciones
La Cadena de Valor de una Organizacioacuten de Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 99
ASESORAR EN CONTROLES DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR DELEGACIONES FINANCIERAS
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
CONTROLAR SEGURIDAD SISTEMA
OPERACIONALES ADMINISTRATIVOS Y OTROS
SISTEMAS FINANCIEROS
DESARROLLAR CONTROLES
DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR Y DESARROLLAR PLAN INTEGRAL DE CONTROL ( PIC )
Asesorar en controles de procesos normas y
Procedimientos
Administrar delegaciones financieras
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
Controlar seguridad sistema
operacionales administrativos y otros
sistemas financieros
Desarrollar
controles de
procesos
normas y
procedimientos
Administrar y desarrollar plan integral de control ( PIC )
Vulnerabilidades
bull INTERCEPCIONbull Una persona computadora o programa sin autorizacioacuten logra el acceso a un
recurso controlado
bull Es un ataque contra la Confidencialidad
bull Ejemplos Escuchas electroacutenicos copias iliacutecitas de programas o datos escalamiento de privilegios
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 42
Emisor
Atacante
Receptor
Vulnerabilidades
bull MODIFICACIONbull La persona sin autorizacioacuten ademaacutes de lograr el acceso modifica el mensaje
bull Este es un ataque contra la Integridad
bull Ejemplos Alterar la informacioacuten que se transmite desde una base de datos modificar los mensajes entre programas para que se comporten diferente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 43
bull FABRICACIONbull Una persona sin autorizacioacuten inserta objetos falsos en el sistemabull Es un ataque contra la Autenticidadbull Ejemplos Suplantacioacuten de identidades robo de sesiones robo de contrasentildeas
robo de direcciones IP etcbull Es muy difiacutecil estar seguro de quieacuten esta al otro lado de la liacutenea
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 44
Vulnerabilidades
Emisor
Atacante
Receptor
iquestQuienes Atacan los Sistemas
Gobiernos Extranjeros
Espiacuteas industriales o poliacuteticos
Criminales
Empleados descontentos y abusos internos
Adolescentes sin nada que hacer
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 45
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 46
Estado del ataque Ejemplo de Acciones
1-Buacutesqueda de Ingreso Correr un scanner de puertos
2-Penetracioacuten Explorar un sistema sin parches de seguridad
3-Elevacioacuten de Privilegios Lograr cuenta de Administrador
5-Enmascaramiento Borrado de rastros del ingreso y ataque
4-Ataque en si mismo Robo de datos destruccioacuten del sitio web etc
INTRUSO
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 47
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 48
Actuacioacuten del Criminal
bull Se requieren talentos especiales
bull El fraude ha crecido gracias a la aparicioacuten de las computadoras
Mitos
bull Dinero
bull Satisfaccioacuten (egocentrismo)
bull Ideologiacutea
bull Psicosis
Motivaciones personales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 49
bull Ambiente de trabajo
bull Prestaciones
bull Nivel de confianza interpersonal
bull Eacutetica ambiental
bull Nivel de stress
bull AMBIENTE DE CONTROL INTERNO
Motivaciones ambientales
Ethical Hacking
Es una intrusioacuten eacutetica es la aplicacioacuten de herramientas de intrusioacuten penetracioacuten robo personificacioacuten y negacioacuten de servicio llevado a cabo por hackers eacuteticos es decir personas con la experiencia y conocimiento suficiente para llevar a cabo estas pruebas en nombre de la organizacioacuten es decir de manera legal y prevista para determinar el nivel de seguridad de una red de equipos o servicios (incluido el aspecto de ingenieriacutea social)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 50
Ethical Hacking
bull al conocer el nivel de seguridad que se tiene en nuestra organizacioacuten es mucho maacutes sencillo no simple el tomar medidas que puedan subsanar estas deficienciasiquestPor queacute es
Importante
bull No al usar las armas que el enemigo usa es maacutes factible que podamos determinar el nivel de riesgo y por tanto la respuesta que debemos dar ante un ataque vieacutendolo como analogiacutea meacutedica es como cuando nos vacunan pues nos inoculan una versioacuten del virus del cual nos quieren hacer inmunes
iquestNo es contraproducente
bull Al contratar un servicio o realizarlo de manera interna estamos confiando en la eacutetica profesional de quien evaluacutea por lo que siacute siempre llevamos un riesgo pero se establece un contrato de buena fe hacieacutendolo suficientemente fiable (asegurando)iquestEs fiable
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 51
Ejemplos de Criacutemenes Electroacutenicos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 52
Ataque en 1986 de alemanes trabajando para la KGB contra sistemas estrateacutegicos de EEUU (Clifford Stoll Cuckooacutes egg)
El gusano Morris que se propagoacute por internet en 1988
causando un problema de DoS La causa fue la interrupcioacuten
causada por un programa escrito por Robert Tappan Morris
414 Gang enviacutea ataques contra los registros meacutedicos del
hospital para enfermos de caacutencer Sloan-Kettering
Ataques de Kevin Mitnick 1989-1996
Penetracioacuten de la red de Microsoft en octubre de 2000
por un cracker que ganoacute acceso a programas en desarrollo
Esparcimiento del Love Letter difundido por Onel Guzmaacuten en
Filipinas
53
DDoS contra Yahoo Amazon y Zdnet
Muacuteltiples problemas por virus desde
entonces
Target (Robo de informacioacuten de clientes
Identidad y datos financieros)
Juegos del Hambre
Ataque a Sony (Cyberterrorismo) y la
Respuesta con el apagoacuten de internet a
Korea del Norte
Carnabank (Europa oriental europa
occidental EEUU Panamaacute)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
Ejemplos de Criacutemenes Electroacutenicos
Algunas Clases de Ataques
Negacioacuten de Servicio (DoS)
Robo de contrasentildeas
Robo de identidad
Ingenieriacutea social
Defacement
FraudePirateriacutea de
softwareDumpster
divingCoacutedigo
MaliciosoIP spoofing
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 54
Algunas Clases de Ataques
EspionajeDestruccioacuten o alteracioacuten de informacioacuten
Uso de scripts de ataque
desarrolladosPhishing
Ciber -Terrorismo
War DialingWar
DrivingWalkingWar Chalking
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 55
El Caso Carbanak 1MMMUS$
La banda delictiva ciberneacutetica CARBANAK roba mil millones de doacutelares de 100 instituciones financieras en todo el mundo Kaspersky Lab la INTERPOL EUROPOL y autoridades de diferentes paiacuteses han unido sus fuerzas para dejar al descubierto el complot delictivo de un robo ciberneacutetico sin precedentes Hasta mil millones de doacutelares americanos fueron robados en cerca de dos antildeos de instituciones financieras en todo el mundo Los expertos informan que la responsabilidad del robo recae en una banda multinacional de ciberdelincuentesde Rusia Ucrania y otras partes de Europa asiacute como de China
La banda CARBANAK responsable del robo ciberneacutetico utilizoacute teacutecnicas extraiacutedas del arsenal de los ataques selectivos El complot marca el inicio de una nueva etapa en la evolucioacuten de la actividad de delincuencia ciberneacutetica donde usuarios maliciosos roban dinero directamente de los bancos y evitan concentrar sus ataques en los usuarios finales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 56
Comunicado de prensa 160215 - Karpersky
5705062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
MALWARE
El malware es un tipo de software que tiene como objetivo infiltrarse o dantildear un ordenador sistema de informacioacuten sin el consentimiento de su propietario
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 58
POPUP
bull Un pop-up es un tipo de ventana web que aparece delante de la ventana de un navegador al visitar una paacutegina web
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 59
VOLVER
ADWARE
bull Un programa de clase adware es cualquier programa que automaacuteticamente muestra publicidad web al usuario durante su instalacioacuten o durante su uso para generar lucro a sus autores
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 60
SPAM
bull Se llama spam correo basura a los mensajes no solicitados no deseados o de remitente no conocido habitualmente de tipo publicitario generalmente enviados
en grandes cantidades que perjudican al receptor
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 61
Bomba Loacutegica
Son programas informaacuteticos que se instala en un ordenador y permanece oculto hasta cumplirse una o maacutes condiciones preprogramadas para en ese momento ejecutar una accioacuten
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 62
volver
VIRUS DE MACROS
bull Es una secuencia de oacuterdenes de teclado y ratoacuten asignadas a una sola tecla Los virus de macros afectan a archivos y plantillas que los contienen hacieacutendose pasar por una macro y no actuaraacuten hasta que el archivo se abra o utilice
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 63
VOLVER
VIRUS RESIDENTES
bull Se colocan automaacuteticamente en la memoria RAM del ordenador De este modo pueden controlar e interceptar todas las operaciones llevadas a cabo por el sistema operativo infectando todos aquellos ficheros yo programas que sean ejecutados abiertos cerrados renombrados copiados etc
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 64
VIRUS DE ENLACE
bull Modifican las direcciones que permiten a nivel interno acceder a cada uno de los archivos existentes y como consecuencia no es posible localizarlos y trabajar con ellos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 65
VOLVER
VIRUS MUTANTES
bull Son virus que mutan es decir x Debido a estas mutaciones cada generacioacuten de virus es diferente a la versioacuten anterior dificultando asiacute su deteccioacuten y eliminacioacuten
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 66
VIRUS DE BOOT
bull Se activan en el momento en el que se arranca el ordenador desde un disco infectado ya sea desde el disco duro o desde una memoria USB
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 67
VOLVER
VIRUS DE PROGRAMA
bull Comuacutenmente infectan archivos con extensiones EXE COM OVL DRV BIN DLL y SYS
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 68
VOLVER
VIRUS DE SOBREESCRITURA
bull Sobre-escriben en el interior de los archivos atacados haciendo que se pierda el contenido de los mismos
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 69
Ataques de Seguridad
bull Spyware Es un software de computadoraque al instalarse intercepta o toma controlparcial de la interaccioacuten de lacomputadora y el usuario esto sin que elmismo se de cuenta Estos programaspueden recolectar diferentes tipos deinformacioacuten de los usuarios asiacute comoinstalar software adicional sin elconsentimiento de los mismos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 70
71
Herramientas de Seguridad
bull Gusano Es un programa de computadora quepuede replicarse a si mismo utiliza la red paraenviar copias de si mismo a otros nodos y lopuede hacer sin la intervencioacuten del usuario
A diferencia de los ldquovirusrdquo los gusanos nonecesitan estar amarrados a un programa y sufuncioacuten es principalmente dantildear la red (ejdesempentildeo) mientras que los virus dantildeanarchivos en computadoras
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
72
Ataques de Seguridad
bull Caballo de Troya Es una programa que seinstala bajo la creencia de que se estainstalando alguna otra cosa Los troyanosson programas muy utilizados parainstalar programas tipo ldquobackdoorsrdquo quepermiten el acceso no autorizado a lacomputadora atacada un ejemplo deprogramas tipo backdoor son losKeyloogers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
73
Ataques de Seguridad
bull DoS Denial of service- Ataques quehacen indisponible un servicio a losusuarios
bull DDoS Son conocidos como DNSBackbone Distributed Denial ofServices ndash Ataques tienen comoblanco los servidores raiacutez DNS por lotanto afectan uno de los pilares delInternet los nombres de los dominios
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
74
Ataques de Seguridad
bull Footprinting Teacutecnica utilizada para reunir informacioacuten acerca de sistemas computacionales y las entidades a las que pertenece algunos ejemplos son
- Domain queries
- Network queries
- Organizational queries
- TCP scans
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
75
Ataques de Seguridad
bull Fingerprinting Tambieacuten es conocidocomo TCPIP stack fingerprinting y esutilizado para determinar que sistemaoperativo utiliza alguacuten blanco en la redExiste dos tipos de fingerprinting
- Pasivo- Activo
NMAP es una herramienta que utilizafingerprinting activo para mapearpuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
76
Ataques de Seguridad
bull Escaneo de puertos El escaneo depuertos se basa en el FingerprintingActivo es decir transmite y recibesentildeales como ICMP TELNET SNMPdesde un blanco determinado en lared esto con el fin de obtenerinformacioacuten de dicho blanco en estecaso informacioacuten acerca de suspuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
77
Ataques de Seguridad
bull Sniffing Para llevar a cabo el sniffing esnecesario contar con un ldquopacket snifferrdquoque puede ser software instalado en unacomputadora o un dispositivoindependiente (appliance) estedispositivo es utilizado para interceptar yregistrar traacutefico que pasa a traveacutes de unared o de un segmento de la misma(Puede ser de una red ethernet owireless)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
78
Ataques de Seguridad
bull Spoofing Los ataques tipo spoofing sonaquellos en los que una persona oprograma logra hacerse pasar por otrafalsificando informacioacuten o utilizando laingenieriacutea algunos ataques tipo spoofingson los siguientes
- Falsificacioacuten de direccioacuten de email
- Falsificacioacuten de ID de llamadas telefoacutenicas
- Falsificacioacuten de sitios de internet (phishing)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
79
Ataques de Seguridad
bull Phishing Es el uso de teacutecnicas deingenieriacutea social con la finalidad deadquirir de manera fraudulentainformacioacuten confidencial comonombres de usuarios contrasentildeasinformacioacuten de tarjetas de creacutedito
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
80
Ataques de Seguridad
bull Ingenieriacutea Social Se refiere a unacoleccioacuten de teacutecnicas utilizadas paramanipular a las personas para querealicen alguna accioacuten o divulgueninformacioacuten confidencial
Algunos ingenieros sociales notablesson
- Kevin Mitnik
- Frank Abagnale
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
Ingenieriacutea Social
Es el conjunto de meacutetodos y praacutecticas usados para obtener informacioacuten de usuarios legiacutetimos y con la informacioacuten obtenida lograr acceso a sistemas protegidos siendo esta praacutectica de uso comuacuten entre piratas informaacuteticos y delincuentes computacionales
Coacutemo me afecta Al no validar las referencias o no seguir el protocolo de seguridad adecuado para divulgar contrasentildeas o cualquier otra informacioacuten sensible podemos ser coacutemplices de un crimen Meacutexico ha acordado con organismos internacionales la homologacioacuten yo adecuacioacuten de coacutedigos penales para que estos delitos sean perseguidos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 81
Ingenieriacutea Social
Coacutemo puedo saber si estoy siendo viacutectima de un ingeniero social Muy simple cuando alguien nos pide alguacuten tipo de informacioacuten privilegiada y esta persona es insistente cuando le requerimos seguir un protocolo para validar su intencioacuten es altamente probable que estemos siendo viacutectimas de un intento de robo de informacioacuten por un ingeniero socialhacker
Coacutemo puedo evitarlo Sencillo si no confiamos en la persona que nos solicita los datos (supongamos un teacutecnico de soporte de nuestro lugar de trabajo) podemos pedirle que nos deje sus datos y comunicarnos con el 10 minutos despueacutes de validar que la peticioacuten es legiacutetima es decir soacutelo sigamos los protocolos que existen en el trabajo y crear los propios en casa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 82
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra los Sistemas que Utilizan Tecnologiacuteas de Informacioacuten
bull Artiacuteculo 6 Acceso indebido
bull Artiacuteculo 7 Sabotaje o dantildeo a sistemas
bull Artiacuteculo 8 Favorecimiento culposo del sabotaje o dantildeo
bull Artiacuteculo 9 Acceso indebido o sabotaje a sistemas protegidos
bull Artiacuteculo 10 Posesioacuten de equipos o prestacioacuten de servicios de sabotaje
bull Artiacuteculo 11 Espionaje informaacutetico
bull Artiacuteculo 12 Falsificacioacuten de documentos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 83
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Propiedad
bull Artiacuteculo 13 Hurto
bull Artiacuteculo 14 Fraude
bull Artiacuteculo 15 Obtencioacuten indebida de bienes o servicios
bull Artiacuteculo 16 Manejo fraudulento de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 17 Apropiacioacuten de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 18 Provisioacuten indebida de bienes o servicios
bull Artiacuteculo 19 Posesioacuten de equipo para falsificaciones
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 84
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Privacidad de las Personas y de las Comunicaciones
bullArtiacuteculo 20 Violacioacuten de la privacidad de la data o informacioacuten de caraacutecter personal
bullArtiacuteculo 21 Violacioacuten de la privacidad de las comunicaciones
bullArtiacuteculo 22 Revelacioacuten indebida de data o informacioacuten de caraacutecter personal
De los Delitos Contra Nintildeos Nintildeas o Adolescentes
bullArtiacuteculo 23 Difusioacuten o exhibicioacuten de material pornograacutefico
bullArtiacuteculo 24 Exhibicioacuten pornograacutefica de nintildeos o adolescentes
De los Delitos Contra el Orden Econoacutemico
bullArtiacuteculo 25 Apropiacioacuten de propiedad intelectual
bullArtiacuteculo 26 Oferta engantildeosa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 85
Plan de Contingencia Continuidad Operacional
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 86
Plan de Contingencia
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 87
ldquoConjunto de Normas y Procedimientos documentadosy comunicados que tienen por objetivo minimizar los riesgos informaacuteticos mas probablesrdquo
InvolucrabullUso de herramientas
bullCumplimiento de Tareas por
parte de personas
Plan de Contingencia
Consta de tres subplanes independientes
bull Plan de Respaldo crear y conservar en un lugar seguro copias de seguridad de la informacioacuten
bull Pla de Emergencia queacute medidas tomar cuando se estaacute materializando una amenaza o cuando acaba de producirse
bull Plan de Recuperacioacuten medidas que se aplicaran cuando se ha producido un desastre El objetivo es evaluar el impacto y regresar lo antes posible
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 88
Plan de Contingencia
En la elaboracioacuten de este plan no se puede dejar por fuera a los miembros de la organizacioacuten el cual debe estar informado y entrenado para actuar en las funciones que le hayan sido encomendadas en caso de producirse una amenaza o impacto
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 89
Continuidad Operacional
Business Continuity Planning (Plan de Continuidad de negocios)
bull Plan Baacutesico
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Coldsite)
bull Plan Intermedio
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan Alto
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan de respuesta y continuidad de negocios alternativo (sin asistencia de sistemas)
bull Stress Testing al Plan
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 90
El Stress Testing
bull Poner a prueba el planbull Revise y evalueacute
bull Respaldosbull Oportunidad integridad y funcionalidadbull Custodia y transporte
bull Cold y Hotsitebull Funcionalidad accesibilidad y compatibilidadbull Actualizacioacuten oportuna (hotsite)
bull Personalbull Roles y funcionesbull Accesibilidad (contactos y comunicaciones)
bull Simulacioacuten de cataacutestrofesbull Sin previo aviso el director encargado del BCP se presenta en el centro de computo
cronometro en mano y baja la cuchilla de electricidad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 91
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de Lehman Brothers
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el WorldTrade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehman se desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del World Trade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehman teniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 92
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de LehmanBrothers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 93
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el World Trade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehmanse desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 94
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del WorldTrade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehmanteniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 95
La Contingencia Manual la Uacuteltima Frontera
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 96
05062015 97
DATOS BAacuteSICOS
Responsable A Nivel Corporativo Responsable(s) A Nivel Regional
PROVEEDOR (ES)
Origen Responsable Insumo (s)
RESULTADOS
Normas y Procedimientos Asociados Fecha uacuteltima revisioacuten Sistemas Aplicaciones Asociadas
Proceso
CALIFICACIOacuteN DE CONTROLES DE ENTRADA
Actividad
RECOMENDACIONES
Procesamiento
Automaacutetico (A)Manual (M)
Frecuencia
Adiestramiento Proceso Sistema N y P Otros
Negocio Area Localidad
Responsable
Nombre CargoNombre Cargo
NOMBRE
ELABORADO POR
CARGO FIRMA
Calidad de Data (B) Buena (R) Regular (M) Mala Oportunidad (AT) A Tiempo (R) Retrasada Revisioacuten Aprobacioacuten (S) Si (N) NoLEYENDA
Calificacioacuten (F) Fuerte (M) Medio (B) Bajo
DescripcioacutenResponsableDescripcioacuten
Tarea
Descripcioacuten
FRECUENCIA DE LA TAREA Diaria (D) Semanal (S) Mensual (M) Trimestral (T) Anual (A) Ocasional (O)
Soportes Recepcioacuten (P) Papel (E) Electroacutenico Archivo (S) Si (N) No Soportes Enviacuteo (S) Si (N) No Backup (S) Si (N) No
Producto (s) Cliente ReceptorControl
de salida
SoportesFrecuencia
Recepcioacuten Backup
DOCUMENTOS SISTEMAS ASOCIADOS A LOS CONTROLES
CALIFICACIOacuteN DE CONTROLES (por parte del Cliente Receptor)
Revisioacuten
Aprobacioacuten
Revisioacuten
AprobacioacutenTipo de control
Procesamiento
Automaacutetico (A)Manual (M)
Control
De EntradaTipo de control
Soportes
Recepcioacuten Archivo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 98
DATOS BAacuteSICOS
TareaActividad
Proceso Responsable del Proceso
Fecha de Elaboracioacuten 2015
Accioacuten (es) Responsable (s)
OBSERVACIONES ELABORADO POR
FIRMA
NOMBRE
Plan de recuperacioacuten y Reactivacioacuten de Finanzas
Recomendaciones Acciones
La Cadena de Valor de una Organizacioacuten de Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 99
ASESORAR EN CONTROLES DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR DELEGACIONES FINANCIERAS
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
CONTROLAR SEGURIDAD SISTEMA
OPERACIONALES ADMINISTRATIVOS Y OTROS
SISTEMAS FINANCIEROS
DESARROLLAR CONTROLES
DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR Y DESARROLLAR PLAN INTEGRAL DE CONTROL ( PIC )
Asesorar en controles de procesos normas y
Procedimientos
Administrar delegaciones financieras
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
Controlar seguridad sistema
operacionales administrativos y otros
sistemas financieros
Desarrollar
controles de
procesos
normas y
procedimientos
Administrar y desarrollar plan integral de control ( PIC )
Vulnerabilidades
bull MODIFICACIONbull La persona sin autorizacioacuten ademaacutes de lograr el acceso modifica el mensaje
bull Este es un ataque contra la Integridad
bull Ejemplos Alterar la informacioacuten que se transmite desde una base de datos modificar los mensajes entre programas para que se comporten diferente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 43
bull FABRICACIONbull Una persona sin autorizacioacuten inserta objetos falsos en el sistemabull Es un ataque contra la Autenticidadbull Ejemplos Suplantacioacuten de identidades robo de sesiones robo de contrasentildeas
robo de direcciones IP etcbull Es muy difiacutecil estar seguro de quieacuten esta al otro lado de la liacutenea
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 44
Vulnerabilidades
Emisor
Atacante
Receptor
iquestQuienes Atacan los Sistemas
Gobiernos Extranjeros
Espiacuteas industriales o poliacuteticos
Criminales
Empleados descontentos y abusos internos
Adolescentes sin nada que hacer
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 45
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 46
Estado del ataque Ejemplo de Acciones
1-Buacutesqueda de Ingreso Correr un scanner de puertos
2-Penetracioacuten Explorar un sistema sin parches de seguridad
3-Elevacioacuten de Privilegios Lograr cuenta de Administrador
5-Enmascaramiento Borrado de rastros del ingreso y ataque
4-Ataque en si mismo Robo de datos destruccioacuten del sitio web etc
INTRUSO
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 47
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 48
Actuacioacuten del Criminal
bull Se requieren talentos especiales
bull El fraude ha crecido gracias a la aparicioacuten de las computadoras
Mitos
bull Dinero
bull Satisfaccioacuten (egocentrismo)
bull Ideologiacutea
bull Psicosis
Motivaciones personales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 49
bull Ambiente de trabajo
bull Prestaciones
bull Nivel de confianza interpersonal
bull Eacutetica ambiental
bull Nivel de stress
bull AMBIENTE DE CONTROL INTERNO
Motivaciones ambientales
Ethical Hacking
Es una intrusioacuten eacutetica es la aplicacioacuten de herramientas de intrusioacuten penetracioacuten robo personificacioacuten y negacioacuten de servicio llevado a cabo por hackers eacuteticos es decir personas con la experiencia y conocimiento suficiente para llevar a cabo estas pruebas en nombre de la organizacioacuten es decir de manera legal y prevista para determinar el nivel de seguridad de una red de equipos o servicios (incluido el aspecto de ingenieriacutea social)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 50
Ethical Hacking
bull al conocer el nivel de seguridad que se tiene en nuestra organizacioacuten es mucho maacutes sencillo no simple el tomar medidas que puedan subsanar estas deficienciasiquestPor queacute es
Importante
bull No al usar las armas que el enemigo usa es maacutes factible que podamos determinar el nivel de riesgo y por tanto la respuesta que debemos dar ante un ataque vieacutendolo como analogiacutea meacutedica es como cuando nos vacunan pues nos inoculan una versioacuten del virus del cual nos quieren hacer inmunes
iquestNo es contraproducente
bull Al contratar un servicio o realizarlo de manera interna estamos confiando en la eacutetica profesional de quien evaluacutea por lo que siacute siempre llevamos un riesgo pero se establece un contrato de buena fe hacieacutendolo suficientemente fiable (asegurando)iquestEs fiable
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 51
Ejemplos de Criacutemenes Electroacutenicos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 52
Ataque en 1986 de alemanes trabajando para la KGB contra sistemas estrateacutegicos de EEUU (Clifford Stoll Cuckooacutes egg)
El gusano Morris que se propagoacute por internet en 1988
causando un problema de DoS La causa fue la interrupcioacuten
causada por un programa escrito por Robert Tappan Morris
414 Gang enviacutea ataques contra los registros meacutedicos del
hospital para enfermos de caacutencer Sloan-Kettering
Ataques de Kevin Mitnick 1989-1996
Penetracioacuten de la red de Microsoft en octubre de 2000
por un cracker que ganoacute acceso a programas en desarrollo
Esparcimiento del Love Letter difundido por Onel Guzmaacuten en
Filipinas
53
DDoS contra Yahoo Amazon y Zdnet
Muacuteltiples problemas por virus desde
entonces
Target (Robo de informacioacuten de clientes
Identidad y datos financieros)
Juegos del Hambre
Ataque a Sony (Cyberterrorismo) y la
Respuesta con el apagoacuten de internet a
Korea del Norte
Carnabank (Europa oriental europa
occidental EEUU Panamaacute)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
Ejemplos de Criacutemenes Electroacutenicos
Algunas Clases de Ataques
Negacioacuten de Servicio (DoS)
Robo de contrasentildeas
Robo de identidad
Ingenieriacutea social
Defacement
FraudePirateriacutea de
softwareDumpster
divingCoacutedigo
MaliciosoIP spoofing
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 54
Algunas Clases de Ataques
EspionajeDestruccioacuten o alteracioacuten de informacioacuten
Uso de scripts de ataque
desarrolladosPhishing
Ciber -Terrorismo
War DialingWar
DrivingWalkingWar Chalking
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 55
El Caso Carbanak 1MMMUS$
La banda delictiva ciberneacutetica CARBANAK roba mil millones de doacutelares de 100 instituciones financieras en todo el mundo Kaspersky Lab la INTERPOL EUROPOL y autoridades de diferentes paiacuteses han unido sus fuerzas para dejar al descubierto el complot delictivo de un robo ciberneacutetico sin precedentes Hasta mil millones de doacutelares americanos fueron robados en cerca de dos antildeos de instituciones financieras en todo el mundo Los expertos informan que la responsabilidad del robo recae en una banda multinacional de ciberdelincuentesde Rusia Ucrania y otras partes de Europa asiacute como de China
La banda CARBANAK responsable del robo ciberneacutetico utilizoacute teacutecnicas extraiacutedas del arsenal de los ataques selectivos El complot marca el inicio de una nueva etapa en la evolucioacuten de la actividad de delincuencia ciberneacutetica donde usuarios maliciosos roban dinero directamente de los bancos y evitan concentrar sus ataques en los usuarios finales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 56
Comunicado de prensa 160215 - Karpersky
5705062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
MALWARE
El malware es un tipo de software que tiene como objetivo infiltrarse o dantildear un ordenador sistema de informacioacuten sin el consentimiento de su propietario
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 58
POPUP
bull Un pop-up es un tipo de ventana web que aparece delante de la ventana de un navegador al visitar una paacutegina web
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 59
VOLVER
ADWARE
bull Un programa de clase adware es cualquier programa que automaacuteticamente muestra publicidad web al usuario durante su instalacioacuten o durante su uso para generar lucro a sus autores
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 60
SPAM
bull Se llama spam correo basura a los mensajes no solicitados no deseados o de remitente no conocido habitualmente de tipo publicitario generalmente enviados
en grandes cantidades que perjudican al receptor
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 61
Bomba Loacutegica
Son programas informaacuteticos que se instala en un ordenador y permanece oculto hasta cumplirse una o maacutes condiciones preprogramadas para en ese momento ejecutar una accioacuten
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 62
volver
VIRUS DE MACROS
bull Es una secuencia de oacuterdenes de teclado y ratoacuten asignadas a una sola tecla Los virus de macros afectan a archivos y plantillas que los contienen hacieacutendose pasar por una macro y no actuaraacuten hasta que el archivo se abra o utilice
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 63
VOLVER
VIRUS RESIDENTES
bull Se colocan automaacuteticamente en la memoria RAM del ordenador De este modo pueden controlar e interceptar todas las operaciones llevadas a cabo por el sistema operativo infectando todos aquellos ficheros yo programas que sean ejecutados abiertos cerrados renombrados copiados etc
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 64
VIRUS DE ENLACE
bull Modifican las direcciones que permiten a nivel interno acceder a cada uno de los archivos existentes y como consecuencia no es posible localizarlos y trabajar con ellos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 65
VOLVER
VIRUS MUTANTES
bull Son virus que mutan es decir x Debido a estas mutaciones cada generacioacuten de virus es diferente a la versioacuten anterior dificultando asiacute su deteccioacuten y eliminacioacuten
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 66
VIRUS DE BOOT
bull Se activan en el momento en el que se arranca el ordenador desde un disco infectado ya sea desde el disco duro o desde una memoria USB
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 67
VOLVER
VIRUS DE PROGRAMA
bull Comuacutenmente infectan archivos con extensiones EXE COM OVL DRV BIN DLL y SYS
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 68
VOLVER
VIRUS DE SOBREESCRITURA
bull Sobre-escriben en el interior de los archivos atacados haciendo que se pierda el contenido de los mismos
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 69
Ataques de Seguridad
bull Spyware Es un software de computadoraque al instalarse intercepta o toma controlparcial de la interaccioacuten de lacomputadora y el usuario esto sin que elmismo se de cuenta Estos programaspueden recolectar diferentes tipos deinformacioacuten de los usuarios asiacute comoinstalar software adicional sin elconsentimiento de los mismos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 70
71
Herramientas de Seguridad
bull Gusano Es un programa de computadora quepuede replicarse a si mismo utiliza la red paraenviar copias de si mismo a otros nodos y lopuede hacer sin la intervencioacuten del usuario
A diferencia de los ldquovirusrdquo los gusanos nonecesitan estar amarrados a un programa y sufuncioacuten es principalmente dantildear la red (ejdesempentildeo) mientras que los virus dantildeanarchivos en computadoras
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
72
Ataques de Seguridad
bull Caballo de Troya Es una programa que seinstala bajo la creencia de que se estainstalando alguna otra cosa Los troyanosson programas muy utilizados parainstalar programas tipo ldquobackdoorsrdquo quepermiten el acceso no autorizado a lacomputadora atacada un ejemplo deprogramas tipo backdoor son losKeyloogers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
73
Ataques de Seguridad
bull DoS Denial of service- Ataques quehacen indisponible un servicio a losusuarios
bull DDoS Son conocidos como DNSBackbone Distributed Denial ofServices ndash Ataques tienen comoblanco los servidores raiacutez DNS por lotanto afectan uno de los pilares delInternet los nombres de los dominios
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
74
Ataques de Seguridad
bull Footprinting Teacutecnica utilizada para reunir informacioacuten acerca de sistemas computacionales y las entidades a las que pertenece algunos ejemplos son
- Domain queries
- Network queries
- Organizational queries
- TCP scans
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
75
Ataques de Seguridad
bull Fingerprinting Tambieacuten es conocidocomo TCPIP stack fingerprinting y esutilizado para determinar que sistemaoperativo utiliza alguacuten blanco en la redExiste dos tipos de fingerprinting
- Pasivo- Activo
NMAP es una herramienta que utilizafingerprinting activo para mapearpuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
76
Ataques de Seguridad
bull Escaneo de puertos El escaneo depuertos se basa en el FingerprintingActivo es decir transmite y recibesentildeales como ICMP TELNET SNMPdesde un blanco determinado en lared esto con el fin de obtenerinformacioacuten de dicho blanco en estecaso informacioacuten acerca de suspuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
77
Ataques de Seguridad
bull Sniffing Para llevar a cabo el sniffing esnecesario contar con un ldquopacket snifferrdquoque puede ser software instalado en unacomputadora o un dispositivoindependiente (appliance) estedispositivo es utilizado para interceptar yregistrar traacutefico que pasa a traveacutes de unared o de un segmento de la misma(Puede ser de una red ethernet owireless)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
78
Ataques de Seguridad
bull Spoofing Los ataques tipo spoofing sonaquellos en los que una persona oprograma logra hacerse pasar por otrafalsificando informacioacuten o utilizando laingenieriacutea algunos ataques tipo spoofingson los siguientes
- Falsificacioacuten de direccioacuten de email
- Falsificacioacuten de ID de llamadas telefoacutenicas
- Falsificacioacuten de sitios de internet (phishing)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
79
Ataques de Seguridad
bull Phishing Es el uso de teacutecnicas deingenieriacutea social con la finalidad deadquirir de manera fraudulentainformacioacuten confidencial comonombres de usuarios contrasentildeasinformacioacuten de tarjetas de creacutedito
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
80
Ataques de Seguridad
bull Ingenieriacutea Social Se refiere a unacoleccioacuten de teacutecnicas utilizadas paramanipular a las personas para querealicen alguna accioacuten o divulgueninformacioacuten confidencial
Algunos ingenieros sociales notablesson
- Kevin Mitnik
- Frank Abagnale
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
Ingenieriacutea Social
Es el conjunto de meacutetodos y praacutecticas usados para obtener informacioacuten de usuarios legiacutetimos y con la informacioacuten obtenida lograr acceso a sistemas protegidos siendo esta praacutectica de uso comuacuten entre piratas informaacuteticos y delincuentes computacionales
Coacutemo me afecta Al no validar las referencias o no seguir el protocolo de seguridad adecuado para divulgar contrasentildeas o cualquier otra informacioacuten sensible podemos ser coacutemplices de un crimen Meacutexico ha acordado con organismos internacionales la homologacioacuten yo adecuacioacuten de coacutedigos penales para que estos delitos sean perseguidos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 81
Ingenieriacutea Social
Coacutemo puedo saber si estoy siendo viacutectima de un ingeniero social Muy simple cuando alguien nos pide alguacuten tipo de informacioacuten privilegiada y esta persona es insistente cuando le requerimos seguir un protocolo para validar su intencioacuten es altamente probable que estemos siendo viacutectimas de un intento de robo de informacioacuten por un ingeniero socialhacker
Coacutemo puedo evitarlo Sencillo si no confiamos en la persona que nos solicita los datos (supongamos un teacutecnico de soporte de nuestro lugar de trabajo) podemos pedirle que nos deje sus datos y comunicarnos con el 10 minutos despueacutes de validar que la peticioacuten es legiacutetima es decir soacutelo sigamos los protocolos que existen en el trabajo y crear los propios en casa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 82
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra los Sistemas que Utilizan Tecnologiacuteas de Informacioacuten
bull Artiacuteculo 6 Acceso indebido
bull Artiacuteculo 7 Sabotaje o dantildeo a sistemas
bull Artiacuteculo 8 Favorecimiento culposo del sabotaje o dantildeo
bull Artiacuteculo 9 Acceso indebido o sabotaje a sistemas protegidos
bull Artiacuteculo 10 Posesioacuten de equipos o prestacioacuten de servicios de sabotaje
bull Artiacuteculo 11 Espionaje informaacutetico
bull Artiacuteculo 12 Falsificacioacuten de documentos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 83
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Propiedad
bull Artiacuteculo 13 Hurto
bull Artiacuteculo 14 Fraude
bull Artiacuteculo 15 Obtencioacuten indebida de bienes o servicios
bull Artiacuteculo 16 Manejo fraudulento de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 17 Apropiacioacuten de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 18 Provisioacuten indebida de bienes o servicios
bull Artiacuteculo 19 Posesioacuten de equipo para falsificaciones
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 84
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Privacidad de las Personas y de las Comunicaciones
bullArtiacuteculo 20 Violacioacuten de la privacidad de la data o informacioacuten de caraacutecter personal
bullArtiacuteculo 21 Violacioacuten de la privacidad de las comunicaciones
bullArtiacuteculo 22 Revelacioacuten indebida de data o informacioacuten de caraacutecter personal
De los Delitos Contra Nintildeos Nintildeas o Adolescentes
bullArtiacuteculo 23 Difusioacuten o exhibicioacuten de material pornograacutefico
bullArtiacuteculo 24 Exhibicioacuten pornograacutefica de nintildeos o adolescentes
De los Delitos Contra el Orden Econoacutemico
bullArtiacuteculo 25 Apropiacioacuten de propiedad intelectual
bullArtiacuteculo 26 Oferta engantildeosa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 85
Plan de Contingencia Continuidad Operacional
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 86
Plan de Contingencia
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 87
ldquoConjunto de Normas y Procedimientos documentadosy comunicados que tienen por objetivo minimizar los riesgos informaacuteticos mas probablesrdquo
InvolucrabullUso de herramientas
bullCumplimiento de Tareas por
parte de personas
Plan de Contingencia
Consta de tres subplanes independientes
bull Plan de Respaldo crear y conservar en un lugar seguro copias de seguridad de la informacioacuten
bull Pla de Emergencia queacute medidas tomar cuando se estaacute materializando una amenaza o cuando acaba de producirse
bull Plan de Recuperacioacuten medidas que se aplicaran cuando se ha producido un desastre El objetivo es evaluar el impacto y regresar lo antes posible
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 88
Plan de Contingencia
En la elaboracioacuten de este plan no se puede dejar por fuera a los miembros de la organizacioacuten el cual debe estar informado y entrenado para actuar en las funciones que le hayan sido encomendadas en caso de producirse una amenaza o impacto
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 89
Continuidad Operacional
Business Continuity Planning (Plan de Continuidad de negocios)
bull Plan Baacutesico
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Coldsite)
bull Plan Intermedio
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan Alto
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan de respuesta y continuidad de negocios alternativo (sin asistencia de sistemas)
bull Stress Testing al Plan
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 90
El Stress Testing
bull Poner a prueba el planbull Revise y evalueacute
bull Respaldosbull Oportunidad integridad y funcionalidadbull Custodia y transporte
bull Cold y Hotsitebull Funcionalidad accesibilidad y compatibilidadbull Actualizacioacuten oportuna (hotsite)
bull Personalbull Roles y funcionesbull Accesibilidad (contactos y comunicaciones)
bull Simulacioacuten de cataacutestrofesbull Sin previo aviso el director encargado del BCP se presenta en el centro de computo
cronometro en mano y baja la cuchilla de electricidad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 91
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de Lehman Brothers
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el WorldTrade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehman se desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del World Trade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehman teniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 92
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de LehmanBrothers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 93
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el World Trade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehmanse desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 94
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del WorldTrade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehmanteniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 95
La Contingencia Manual la Uacuteltima Frontera
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 96
05062015 97
DATOS BAacuteSICOS
Responsable A Nivel Corporativo Responsable(s) A Nivel Regional
PROVEEDOR (ES)
Origen Responsable Insumo (s)
RESULTADOS
Normas y Procedimientos Asociados Fecha uacuteltima revisioacuten Sistemas Aplicaciones Asociadas
Proceso
CALIFICACIOacuteN DE CONTROLES DE ENTRADA
Actividad
RECOMENDACIONES
Procesamiento
Automaacutetico (A)Manual (M)
Frecuencia
Adiestramiento Proceso Sistema N y P Otros
Negocio Area Localidad
Responsable
Nombre CargoNombre Cargo
NOMBRE
ELABORADO POR
CARGO FIRMA
Calidad de Data (B) Buena (R) Regular (M) Mala Oportunidad (AT) A Tiempo (R) Retrasada Revisioacuten Aprobacioacuten (S) Si (N) NoLEYENDA
Calificacioacuten (F) Fuerte (M) Medio (B) Bajo
DescripcioacutenResponsableDescripcioacuten
Tarea
Descripcioacuten
FRECUENCIA DE LA TAREA Diaria (D) Semanal (S) Mensual (M) Trimestral (T) Anual (A) Ocasional (O)
Soportes Recepcioacuten (P) Papel (E) Electroacutenico Archivo (S) Si (N) No Soportes Enviacuteo (S) Si (N) No Backup (S) Si (N) No
Producto (s) Cliente ReceptorControl
de salida
SoportesFrecuencia
Recepcioacuten Backup
DOCUMENTOS SISTEMAS ASOCIADOS A LOS CONTROLES
CALIFICACIOacuteN DE CONTROLES (por parte del Cliente Receptor)
Revisioacuten
Aprobacioacuten
Revisioacuten
AprobacioacutenTipo de control
Procesamiento
Automaacutetico (A)Manual (M)
Control
De EntradaTipo de control
Soportes
Recepcioacuten Archivo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 98
DATOS BAacuteSICOS
TareaActividad
Proceso Responsable del Proceso
Fecha de Elaboracioacuten 2015
Accioacuten (es) Responsable (s)
OBSERVACIONES ELABORADO POR
FIRMA
NOMBRE
Plan de recuperacioacuten y Reactivacioacuten de Finanzas
Recomendaciones Acciones
La Cadena de Valor de una Organizacioacuten de Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 99
ASESORAR EN CONTROLES DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR DELEGACIONES FINANCIERAS
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
CONTROLAR SEGURIDAD SISTEMA
OPERACIONALES ADMINISTRATIVOS Y OTROS
SISTEMAS FINANCIEROS
DESARROLLAR CONTROLES
DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR Y DESARROLLAR PLAN INTEGRAL DE CONTROL ( PIC )
Asesorar en controles de procesos normas y
Procedimientos
Administrar delegaciones financieras
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
Controlar seguridad sistema
operacionales administrativos y otros
sistemas financieros
Desarrollar
controles de
procesos
normas y
procedimientos
Administrar y desarrollar plan integral de control ( PIC )
bull FABRICACIONbull Una persona sin autorizacioacuten inserta objetos falsos en el sistemabull Es un ataque contra la Autenticidadbull Ejemplos Suplantacioacuten de identidades robo de sesiones robo de contrasentildeas
robo de direcciones IP etcbull Es muy difiacutecil estar seguro de quieacuten esta al otro lado de la liacutenea
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 44
Vulnerabilidades
Emisor
Atacante
Receptor
iquestQuienes Atacan los Sistemas
Gobiernos Extranjeros
Espiacuteas industriales o poliacuteticos
Criminales
Empleados descontentos y abusos internos
Adolescentes sin nada que hacer
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 45
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 46
Estado del ataque Ejemplo de Acciones
1-Buacutesqueda de Ingreso Correr un scanner de puertos
2-Penetracioacuten Explorar un sistema sin parches de seguridad
3-Elevacioacuten de Privilegios Lograr cuenta de Administrador
5-Enmascaramiento Borrado de rastros del ingreso y ataque
4-Ataque en si mismo Robo de datos destruccioacuten del sitio web etc
INTRUSO
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 47
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 48
Actuacioacuten del Criminal
bull Se requieren talentos especiales
bull El fraude ha crecido gracias a la aparicioacuten de las computadoras
Mitos
bull Dinero
bull Satisfaccioacuten (egocentrismo)
bull Ideologiacutea
bull Psicosis
Motivaciones personales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 49
bull Ambiente de trabajo
bull Prestaciones
bull Nivel de confianza interpersonal
bull Eacutetica ambiental
bull Nivel de stress
bull AMBIENTE DE CONTROL INTERNO
Motivaciones ambientales
Ethical Hacking
Es una intrusioacuten eacutetica es la aplicacioacuten de herramientas de intrusioacuten penetracioacuten robo personificacioacuten y negacioacuten de servicio llevado a cabo por hackers eacuteticos es decir personas con la experiencia y conocimiento suficiente para llevar a cabo estas pruebas en nombre de la organizacioacuten es decir de manera legal y prevista para determinar el nivel de seguridad de una red de equipos o servicios (incluido el aspecto de ingenieriacutea social)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 50
Ethical Hacking
bull al conocer el nivel de seguridad que se tiene en nuestra organizacioacuten es mucho maacutes sencillo no simple el tomar medidas que puedan subsanar estas deficienciasiquestPor queacute es
Importante
bull No al usar las armas que el enemigo usa es maacutes factible que podamos determinar el nivel de riesgo y por tanto la respuesta que debemos dar ante un ataque vieacutendolo como analogiacutea meacutedica es como cuando nos vacunan pues nos inoculan una versioacuten del virus del cual nos quieren hacer inmunes
iquestNo es contraproducente
bull Al contratar un servicio o realizarlo de manera interna estamos confiando en la eacutetica profesional de quien evaluacutea por lo que siacute siempre llevamos un riesgo pero se establece un contrato de buena fe hacieacutendolo suficientemente fiable (asegurando)iquestEs fiable
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 51
Ejemplos de Criacutemenes Electroacutenicos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 52
Ataque en 1986 de alemanes trabajando para la KGB contra sistemas estrateacutegicos de EEUU (Clifford Stoll Cuckooacutes egg)
El gusano Morris que se propagoacute por internet en 1988
causando un problema de DoS La causa fue la interrupcioacuten
causada por un programa escrito por Robert Tappan Morris
414 Gang enviacutea ataques contra los registros meacutedicos del
hospital para enfermos de caacutencer Sloan-Kettering
Ataques de Kevin Mitnick 1989-1996
Penetracioacuten de la red de Microsoft en octubre de 2000
por un cracker que ganoacute acceso a programas en desarrollo
Esparcimiento del Love Letter difundido por Onel Guzmaacuten en
Filipinas
53
DDoS contra Yahoo Amazon y Zdnet
Muacuteltiples problemas por virus desde
entonces
Target (Robo de informacioacuten de clientes
Identidad y datos financieros)
Juegos del Hambre
Ataque a Sony (Cyberterrorismo) y la
Respuesta con el apagoacuten de internet a
Korea del Norte
Carnabank (Europa oriental europa
occidental EEUU Panamaacute)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
Ejemplos de Criacutemenes Electroacutenicos
Algunas Clases de Ataques
Negacioacuten de Servicio (DoS)
Robo de contrasentildeas
Robo de identidad
Ingenieriacutea social
Defacement
FraudePirateriacutea de
softwareDumpster
divingCoacutedigo
MaliciosoIP spoofing
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 54
Algunas Clases de Ataques
EspionajeDestruccioacuten o alteracioacuten de informacioacuten
Uso de scripts de ataque
desarrolladosPhishing
Ciber -Terrorismo
War DialingWar
DrivingWalkingWar Chalking
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 55
El Caso Carbanak 1MMMUS$
La banda delictiva ciberneacutetica CARBANAK roba mil millones de doacutelares de 100 instituciones financieras en todo el mundo Kaspersky Lab la INTERPOL EUROPOL y autoridades de diferentes paiacuteses han unido sus fuerzas para dejar al descubierto el complot delictivo de un robo ciberneacutetico sin precedentes Hasta mil millones de doacutelares americanos fueron robados en cerca de dos antildeos de instituciones financieras en todo el mundo Los expertos informan que la responsabilidad del robo recae en una banda multinacional de ciberdelincuentesde Rusia Ucrania y otras partes de Europa asiacute como de China
La banda CARBANAK responsable del robo ciberneacutetico utilizoacute teacutecnicas extraiacutedas del arsenal de los ataques selectivos El complot marca el inicio de una nueva etapa en la evolucioacuten de la actividad de delincuencia ciberneacutetica donde usuarios maliciosos roban dinero directamente de los bancos y evitan concentrar sus ataques en los usuarios finales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 56
Comunicado de prensa 160215 - Karpersky
5705062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
MALWARE
El malware es un tipo de software que tiene como objetivo infiltrarse o dantildear un ordenador sistema de informacioacuten sin el consentimiento de su propietario
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 58
POPUP
bull Un pop-up es un tipo de ventana web que aparece delante de la ventana de un navegador al visitar una paacutegina web
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 59
VOLVER
ADWARE
bull Un programa de clase adware es cualquier programa que automaacuteticamente muestra publicidad web al usuario durante su instalacioacuten o durante su uso para generar lucro a sus autores
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 60
SPAM
bull Se llama spam correo basura a los mensajes no solicitados no deseados o de remitente no conocido habitualmente de tipo publicitario generalmente enviados
en grandes cantidades que perjudican al receptor
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 61
Bomba Loacutegica
Son programas informaacuteticos que se instala en un ordenador y permanece oculto hasta cumplirse una o maacutes condiciones preprogramadas para en ese momento ejecutar una accioacuten
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 62
volver
VIRUS DE MACROS
bull Es una secuencia de oacuterdenes de teclado y ratoacuten asignadas a una sola tecla Los virus de macros afectan a archivos y plantillas que los contienen hacieacutendose pasar por una macro y no actuaraacuten hasta que el archivo se abra o utilice
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 63
VOLVER
VIRUS RESIDENTES
bull Se colocan automaacuteticamente en la memoria RAM del ordenador De este modo pueden controlar e interceptar todas las operaciones llevadas a cabo por el sistema operativo infectando todos aquellos ficheros yo programas que sean ejecutados abiertos cerrados renombrados copiados etc
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 64
VIRUS DE ENLACE
bull Modifican las direcciones que permiten a nivel interno acceder a cada uno de los archivos existentes y como consecuencia no es posible localizarlos y trabajar con ellos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 65
VOLVER
VIRUS MUTANTES
bull Son virus que mutan es decir x Debido a estas mutaciones cada generacioacuten de virus es diferente a la versioacuten anterior dificultando asiacute su deteccioacuten y eliminacioacuten
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 66
VIRUS DE BOOT
bull Se activan en el momento en el que se arranca el ordenador desde un disco infectado ya sea desde el disco duro o desde una memoria USB
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 67
VOLVER
VIRUS DE PROGRAMA
bull Comuacutenmente infectan archivos con extensiones EXE COM OVL DRV BIN DLL y SYS
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 68
VOLVER
VIRUS DE SOBREESCRITURA
bull Sobre-escriben en el interior de los archivos atacados haciendo que se pierda el contenido de los mismos
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 69
Ataques de Seguridad
bull Spyware Es un software de computadoraque al instalarse intercepta o toma controlparcial de la interaccioacuten de lacomputadora y el usuario esto sin que elmismo se de cuenta Estos programaspueden recolectar diferentes tipos deinformacioacuten de los usuarios asiacute comoinstalar software adicional sin elconsentimiento de los mismos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 70
71
Herramientas de Seguridad
bull Gusano Es un programa de computadora quepuede replicarse a si mismo utiliza la red paraenviar copias de si mismo a otros nodos y lopuede hacer sin la intervencioacuten del usuario
A diferencia de los ldquovirusrdquo los gusanos nonecesitan estar amarrados a un programa y sufuncioacuten es principalmente dantildear la red (ejdesempentildeo) mientras que los virus dantildeanarchivos en computadoras
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
72
Ataques de Seguridad
bull Caballo de Troya Es una programa que seinstala bajo la creencia de que se estainstalando alguna otra cosa Los troyanosson programas muy utilizados parainstalar programas tipo ldquobackdoorsrdquo quepermiten el acceso no autorizado a lacomputadora atacada un ejemplo deprogramas tipo backdoor son losKeyloogers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
73
Ataques de Seguridad
bull DoS Denial of service- Ataques quehacen indisponible un servicio a losusuarios
bull DDoS Son conocidos como DNSBackbone Distributed Denial ofServices ndash Ataques tienen comoblanco los servidores raiacutez DNS por lotanto afectan uno de los pilares delInternet los nombres de los dominios
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
74
Ataques de Seguridad
bull Footprinting Teacutecnica utilizada para reunir informacioacuten acerca de sistemas computacionales y las entidades a las que pertenece algunos ejemplos son
- Domain queries
- Network queries
- Organizational queries
- TCP scans
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
75
Ataques de Seguridad
bull Fingerprinting Tambieacuten es conocidocomo TCPIP stack fingerprinting y esutilizado para determinar que sistemaoperativo utiliza alguacuten blanco en la redExiste dos tipos de fingerprinting
- Pasivo- Activo
NMAP es una herramienta que utilizafingerprinting activo para mapearpuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
76
Ataques de Seguridad
bull Escaneo de puertos El escaneo depuertos se basa en el FingerprintingActivo es decir transmite y recibesentildeales como ICMP TELNET SNMPdesde un blanco determinado en lared esto con el fin de obtenerinformacioacuten de dicho blanco en estecaso informacioacuten acerca de suspuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
77
Ataques de Seguridad
bull Sniffing Para llevar a cabo el sniffing esnecesario contar con un ldquopacket snifferrdquoque puede ser software instalado en unacomputadora o un dispositivoindependiente (appliance) estedispositivo es utilizado para interceptar yregistrar traacutefico que pasa a traveacutes de unared o de un segmento de la misma(Puede ser de una red ethernet owireless)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
78
Ataques de Seguridad
bull Spoofing Los ataques tipo spoofing sonaquellos en los que una persona oprograma logra hacerse pasar por otrafalsificando informacioacuten o utilizando laingenieriacutea algunos ataques tipo spoofingson los siguientes
- Falsificacioacuten de direccioacuten de email
- Falsificacioacuten de ID de llamadas telefoacutenicas
- Falsificacioacuten de sitios de internet (phishing)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
79
Ataques de Seguridad
bull Phishing Es el uso de teacutecnicas deingenieriacutea social con la finalidad deadquirir de manera fraudulentainformacioacuten confidencial comonombres de usuarios contrasentildeasinformacioacuten de tarjetas de creacutedito
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
80
Ataques de Seguridad
bull Ingenieriacutea Social Se refiere a unacoleccioacuten de teacutecnicas utilizadas paramanipular a las personas para querealicen alguna accioacuten o divulgueninformacioacuten confidencial
Algunos ingenieros sociales notablesson
- Kevin Mitnik
- Frank Abagnale
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
Ingenieriacutea Social
Es el conjunto de meacutetodos y praacutecticas usados para obtener informacioacuten de usuarios legiacutetimos y con la informacioacuten obtenida lograr acceso a sistemas protegidos siendo esta praacutectica de uso comuacuten entre piratas informaacuteticos y delincuentes computacionales
Coacutemo me afecta Al no validar las referencias o no seguir el protocolo de seguridad adecuado para divulgar contrasentildeas o cualquier otra informacioacuten sensible podemos ser coacutemplices de un crimen Meacutexico ha acordado con organismos internacionales la homologacioacuten yo adecuacioacuten de coacutedigos penales para que estos delitos sean perseguidos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 81
Ingenieriacutea Social
Coacutemo puedo saber si estoy siendo viacutectima de un ingeniero social Muy simple cuando alguien nos pide alguacuten tipo de informacioacuten privilegiada y esta persona es insistente cuando le requerimos seguir un protocolo para validar su intencioacuten es altamente probable que estemos siendo viacutectimas de un intento de robo de informacioacuten por un ingeniero socialhacker
Coacutemo puedo evitarlo Sencillo si no confiamos en la persona que nos solicita los datos (supongamos un teacutecnico de soporte de nuestro lugar de trabajo) podemos pedirle que nos deje sus datos y comunicarnos con el 10 minutos despueacutes de validar que la peticioacuten es legiacutetima es decir soacutelo sigamos los protocolos que existen en el trabajo y crear los propios en casa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 82
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra los Sistemas que Utilizan Tecnologiacuteas de Informacioacuten
bull Artiacuteculo 6 Acceso indebido
bull Artiacuteculo 7 Sabotaje o dantildeo a sistemas
bull Artiacuteculo 8 Favorecimiento culposo del sabotaje o dantildeo
bull Artiacuteculo 9 Acceso indebido o sabotaje a sistemas protegidos
bull Artiacuteculo 10 Posesioacuten de equipos o prestacioacuten de servicios de sabotaje
bull Artiacuteculo 11 Espionaje informaacutetico
bull Artiacuteculo 12 Falsificacioacuten de documentos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 83
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Propiedad
bull Artiacuteculo 13 Hurto
bull Artiacuteculo 14 Fraude
bull Artiacuteculo 15 Obtencioacuten indebida de bienes o servicios
bull Artiacuteculo 16 Manejo fraudulento de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 17 Apropiacioacuten de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 18 Provisioacuten indebida de bienes o servicios
bull Artiacuteculo 19 Posesioacuten de equipo para falsificaciones
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 84
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Privacidad de las Personas y de las Comunicaciones
bullArtiacuteculo 20 Violacioacuten de la privacidad de la data o informacioacuten de caraacutecter personal
bullArtiacuteculo 21 Violacioacuten de la privacidad de las comunicaciones
bullArtiacuteculo 22 Revelacioacuten indebida de data o informacioacuten de caraacutecter personal
De los Delitos Contra Nintildeos Nintildeas o Adolescentes
bullArtiacuteculo 23 Difusioacuten o exhibicioacuten de material pornograacutefico
bullArtiacuteculo 24 Exhibicioacuten pornograacutefica de nintildeos o adolescentes
De los Delitos Contra el Orden Econoacutemico
bullArtiacuteculo 25 Apropiacioacuten de propiedad intelectual
bullArtiacuteculo 26 Oferta engantildeosa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 85
Plan de Contingencia Continuidad Operacional
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 86
Plan de Contingencia
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 87
ldquoConjunto de Normas y Procedimientos documentadosy comunicados que tienen por objetivo minimizar los riesgos informaacuteticos mas probablesrdquo
InvolucrabullUso de herramientas
bullCumplimiento de Tareas por
parte de personas
Plan de Contingencia
Consta de tres subplanes independientes
bull Plan de Respaldo crear y conservar en un lugar seguro copias de seguridad de la informacioacuten
bull Pla de Emergencia queacute medidas tomar cuando se estaacute materializando una amenaza o cuando acaba de producirse
bull Plan de Recuperacioacuten medidas que se aplicaran cuando se ha producido un desastre El objetivo es evaluar el impacto y regresar lo antes posible
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 88
Plan de Contingencia
En la elaboracioacuten de este plan no se puede dejar por fuera a los miembros de la organizacioacuten el cual debe estar informado y entrenado para actuar en las funciones que le hayan sido encomendadas en caso de producirse una amenaza o impacto
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 89
Continuidad Operacional
Business Continuity Planning (Plan de Continuidad de negocios)
bull Plan Baacutesico
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Coldsite)
bull Plan Intermedio
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan Alto
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan de respuesta y continuidad de negocios alternativo (sin asistencia de sistemas)
bull Stress Testing al Plan
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 90
El Stress Testing
bull Poner a prueba el planbull Revise y evalueacute
bull Respaldosbull Oportunidad integridad y funcionalidadbull Custodia y transporte
bull Cold y Hotsitebull Funcionalidad accesibilidad y compatibilidadbull Actualizacioacuten oportuna (hotsite)
bull Personalbull Roles y funcionesbull Accesibilidad (contactos y comunicaciones)
bull Simulacioacuten de cataacutestrofesbull Sin previo aviso el director encargado del BCP se presenta en el centro de computo
cronometro en mano y baja la cuchilla de electricidad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 91
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de Lehman Brothers
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el WorldTrade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehman se desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del World Trade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehman teniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 92
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de LehmanBrothers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 93
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el World Trade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehmanse desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 94
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del WorldTrade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehmanteniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 95
La Contingencia Manual la Uacuteltima Frontera
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 96
05062015 97
DATOS BAacuteSICOS
Responsable A Nivel Corporativo Responsable(s) A Nivel Regional
PROVEEDOR (ES)
Origen Responsable Insumo (s)
RESULTADOS
Normas y Procedimientos Asociados Fecha uacuteltima revisioacuten Sistemas Aplicaciones Asociadas
Proceso
CALIFICACIOacuteN DE CONTROLES DE ENTRADA
Actividad
RECOMENDACIONES
Procesamiento
Automaacutetico (A)Manual (M)
Frecuencia
Adiestramiento Proceso Sistema N y P Otros
Negocio Area Localidad
Responsable
Nombre CargoNombre Cargo
NOMBRE
ELABORADO POR
CARGO FIRMA
Calidad de Data (B) Buena (R) Regular (M) Mala Oportunidad (AT) A Tiempo (R) Retrasada Revisioacuten Aprobacioacuten (S) Si (N) NoLEYENDA
Calificacioacuten (F) Fuerte (M) Medio (B) Bajo
DescripcioacutenResponsableDescripcioacuten
Tarea
Descripcioacuten
FRECUENCIA DE LA TAREA Diaria (D) Semanal (S) Mensual (M) Trimestral (T) Anual (A) Ocasional (O)
Soportes Recepcioacuten (P) Papel (E) Electroacutenico Archivo (S) Si (N) No Soportes Enviacuteo (S) Si (N) No Backup (S) Si (N) No
Producto (s) Cliente ReceptorControl
de salida
SoportesFrecuencia
Recepcioacuten Backup
DOCUMENTOS SISTEMAS ASOCIADOS A LOS CONTROLES
CALIFICACIOacuteN DE CONTROLES (por parte del Cliente Receptor)
Revisioacuten
Aprobacioacuten
Revisioacuten
AprobacioacutenTipo de control
Procesamiento
Automaacutetico (A)Manual (M)
Control
De EntradaTipo de control
Soportes
Recepcioacuten Archivo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 98
DATOS BAacuteSICOS
TareaActividad
Proceso Responsable del Proceso
Fecha de Elaboracioacuten 2015
Accioacuten (es) Responsable (s)
OBSERVACIONES ELABORADO POR
FIRMA
NOMBRE
Plan de recuperacioacuten y Reactivacioacuten de Finanzas
Recomendaciones Acciones
La Cadena de Valor de una Organizacioacuten de Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 99
ASESORAR EN CONTROLES DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR DELEGACIONES FINANCIERAS
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
CONTROLAR SEGURIDAD SISTEMA
OPERACIONALES ADMINISTRATIVOS Y OTROS
SISTEMAS FINANCIEROS
DESARROLLAR CONTROLES
DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR Y DESARROLLAR PLAN INTEGRAL DE CONTROL ( PIC )
Asesorar en controles de procesos normas y
Procedimientos
Administrar delegaciones financieras
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
Controlar seguridad sistema
operacionales administrativos y otros
sistemas financieros
Desarrollar
controles de
procesos
normas y
procedimientos
Administrar y desarrollar plan integral de control ( PIC )
iquestQuienes Atacan los Sistemas
Gobiernos Extranjeros
Espiacuteas industriales o poliacuteticos
Criminales
Empleados descontentos y abusos internos
Adolescentes sin nada que hacer
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 45
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 46
Estado del ataque Ejemplo de Acciones
1-Buacutesqueda de Ingreso Correr un scanner de puertos
2-Penetracioacuten Explorar un sistema sin parches de seguridad
3-Elevacioacuten de Privilegios Lograr cuenta de Administrador
5-Enmascaramiento Borrado de rastros del ingreso y ataque
4-Ataque en si mismo Robo de datos destruccioacuten del sitio web etc
INTRUSO
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 47
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 48
Actuacioacuten del Criminal
bull Se requieren talentos especiales
bull El fraude ha crecido gracias a la aparicioacuten de las computadoras
Mitos
bull Dinero
bull Satisfaccioacuten (egocentrismo)
bull Ideologiacutea
bull Psicosis
Motivaciones personales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 49
bull Ambiente de trabajo
bull Prestaciones
bull Nivel de confianza interpersonal
bull Eacutetica ambiental
bull Nivel de stress
bull AMBIENTE DE CONTROL INTERNO
Motivaciones ambientales
Ethical Hacking
Es una intrusioacuten eacutetica es la aplicacioacuten de herramientas de intrusioacuten penetracioacuten robo personificacioacuten y negacioacuten de servicio llevado a cabo por hackers eacuteticos es decir personas con la experiencia y conocimiento suficiente para llevar a cabo estas pruebas en nombre de la organizacioacuten es decir de manera legal y prevista para determinar el nivel de seguridad de una red de equipos o servicios (incluido el aspecto de ingenieriacutea social)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 50
Ethical Hacking
bull al conocer el nivel de seguridad que se tiene en nuestra organizacioacuten es mucho maacutes sencillo no simple el tomar medidas que puedan subsanar estas deficienciasiquestPor queacute es
Importante
bull No al usar las armas que el enemigo usa es maacutes factible que podamos determinar el nivel de riesgo y por tanto la respuesta que debemos dar ante un ataque vieacutendolo como analogiacutea meacutedica es como cuando nos vacunan pues nos inoculan una versioacuten del virus del cual nos quieren hacer inmunes
iquestNo es contraproducente
bull Al contratar un servicio o realizarlo de manera interna estamos confiando en la eacutetica profesional de quien evaluacutea por lo que siacute siempre llevamos un riesgo pero se establece un contrato de buena fe hacieacutendolo suficientemente fiable (asegurando)iquestEs fiable
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 51
Ejemplos de Criacutemenes Electroacutenicos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 52
Ataque en 1986 de alemanes trabajando para la KGB contra sistemas estrateacutegicos de EEUU (Clifford Stoll Cuckooacutes egg)
El gusano Morris que se propagoacute por internet en 1988
causando un problema de DoS La causa fue la interrupcioacuten
causada por un programa escrito por Robert Tappan Morris
414 Gang enviacutea ataques contra los registros meacutedicos del
hospital para enfermos de caacutencer Sloan-Kettering
Ataques de Kevin Mitnick 1989-1996
Penetracioacuten de la red de Microsoft en octubre de 2000
por un cracker que ganoacute acceso a programas en desarrollo
Esparcimiento del Love Letter difundido por Onel Guzmaacuten en
Filipinas
53
DDoS contra Yahoo Amazon y Zdnet
Muacuteltiples problemas por virus desde
entonces
Target (Robo de informacioacuten de clientes
Identidad y datos financieros)
Juegos del Hambre
Ataque a Sony (Cyberterrorismo) y la
Respuesta con el apagoacuten de internet a
Korea del Norte
Carnabank (Europa oriental europa
occidental EEUU Panamaacute)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
Ejemplos de Criacutemenes Electroacutenicos
Algunas Clases de Ataques
Negacioacuten de Servicio (DoS)
Robo de contrasentildeas
Robo de identidad
Ingenieriacutea social
Defacement
FraudePirateriacutea de
softwareDumpster
divingCoacutedigo
MaliciosoIP spoofing
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 54
Algunas Clases de Ataques
EspionajeDestruccioacuten o alteracioacuten de informacioacuten
Uso de scripts de ataque
desarrolladosPhishing
Ciber -Terrorismo
War DialingWar
DrivingWalkingWar Chalking
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 55
El Caso Carbanak 1MMMUS$
La banda delictiva ciberneacutetica CARBANAK roba mil millones de doacutelares de 100 instituciones financieras en todo el mundo Kaspersky Lab la INTERPOL EUROPOL y autoridades de diferentes paiacuteses han unido sus fuerzas para dejar al descubierto el complot delictivo de un robo ciberneacutetico sin precedentes Hasta mil millones de doacutelares americanos fueron robados en cerca de dos antildeos de instituciones financieras en todo el mundo Los expertos informan que la responsabilidad del robo recae en una banda multinacional de ciberdelincuentesde Rusia Ucrania y otras partes de Europa asiacute como de China
La banda CARBANAK responsable del robo ciberneacutetico utilizoacute teacutecnicas extraiacutedas del arsenal de los ataques selectivos El complot marca el inicio de una nueva etapa en la evolucioacuten de la actividad de delincuencia ciberneacutetica donde usuarios maliciosos roban dinero directamente de los bancos y evitan concentrar sus ataques en los usuarios finales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 56
Comunicado de prensa 160215 - Karpersky
5705062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
MALWARE
El malware es un tipo de software que tiene como objetivo infiltrarse o dantildear un ordenador sistema de informacioacuten sin el consentimiento de su propietario
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 58
POPUP
bull Un pop-up es un tipo de ventana web que aparece delante de la ventana de un navegador al visitar una paacutegina web
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 59
VOLVER
ADWARE
bull Un programa de clase adware es cualquier programa que automaacuteticamente muestra publicidad web al usuario durante su instalacioacuten o durante su uso para generar lucro a sus autores
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 60
SPAM
bull Se llama spam correo basura a los mensajes no solicitados no deseados o de remitente no conocido habitualmente de tipo publicitario generalmente enviados
en grandes cantidades que perjudican al receptor
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 61
Bomba Loacutegica
Son programas informaacuteticos que se instala en un ordenador y permanece oculto hasta cumplirse una o maacutes condiciones preprogramadas para en ese momento ejecutar una accioacuten
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 62
volver
VIRUS DE MACROS
bull Es una secuencia de oacuterdenes de teclado y ratoacuten asignadas a una sola tecla Los virus de macros afectan a archivos y plantillas que los contienen hacieacutendose pasar por una macro y no actuaraacuten hasta que el archivo se abra o utilice
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 63
VOLVER
VIRUS RESIDENTES
bull Se colocan automaacuteticamente en la memoria RAM del ordenador De este modo pueden controlar e interceptar todas las operaciones llevadas a cabo por el sistema operativo infectando todos aquellos ficheros yo programas que sean ejecutados abiertos cerrados renombrados copiados etc
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 64
VIRUS DE ENLACE
bull Modifican las direcciones que permiten a nivel interno acceder a cada uno de los archivos existentes y como consecuencia no es posible localizarlos y trabajar con ellos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 65
VOLVER
VIRUS MUTANTES
bull Son virus que mutan es decir x Debido a estas mutaciones cada generacioacuten de virus es diferente a la versioacuten anterior dificultando asiacute su deteccioacuten y eliminacioacuten
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 66
VIRUS DE BOOT
bull Se activan en el momento en el que se arranca el ordenador desde un disco infectado ya sea desde el disco duro o desde una memoria USB
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 67
VOLVER
VIRUS DE PROGRAMA
bull Comuacutenmente infectan archivos con extensiones EXE COM OVL DRV BIN DLL y SYS
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 68
VOLVER
VIRUS DE SOBREESCRITURA
bull Sobre-escriben en el interior de los archivos atacados haciendo que se pierda el contenido de los mismos
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 69
Ataques de Seguridad
bull Spyware Es un software de computadoraque al instalarse intercepta o toma controlparcial de la interaccioacuten de lacomputadora y el usuario esto sin que elmismo se de cuenta Estos programaspueden recolectar diferentes tipos deinformacioacuten de los usuarios asiacute comoinstalar software adicional sin elconsentimiento de los mismos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 70
71
Herramientas de Seguridad
bull Gusano Es un programa de computadora quepuede replicarse a si mismo utiliza la red paraenviar copias de si mismo a otros nodos y lopuede hacer sin la intervencioacuten del usuario
A diferencia de los ldquovirusrdquo los gusanos nonecesitan estar amarrados a un programa y sufuncioacuten es principalmente dantildear la red (ejdesempentildeo) mientras que los virus dantildeanarchivos en computadoras
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
72
Ataques de Seguridad
bull Caballo de Troya Es una programa que seinstala bajo la creencia de que se estainstalando alguna otra cosa Los troyanosson programas muy utilizados parainstalar programas tipo ldquobackdoorsrdquo quepermiten el acceso no autorizado a lacomputadora atacada un ejemplo deprogramas tipo backdoor son losKeyloogers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
73
Ataques de Seguridad
bull DoS Denial of service- Ataques quehacen indisponible un servicio a losusuarios
bull DDoS Son conocidos como DNSBackbone Distributed Denial ofServices ndash Ataques tienen comoblanco los servidores raiacutez DNS por lotanto afectan uno de los pilares delInternet los nombres de los dominios
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
74
Ataques de Seguridad
bull Footprinting Teacutecnica utilizada para reunir informacioacuten acerca de sistemas computacionales y las entidades a las que pertenece algunos ejemplos son
- Domain queries
- Network queries
- Organizational queries
- TCP scans
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
75
Ataques de Seguridad
bull Fingerprinting Tambieacuten es conocidocomo TCPIP stack fingerprinting y esutilizado para determinar que sistemaoperativo utiliza alguacuten blanco en la redExiste dos tipos de fingerprinting
- Pasivo- Activo
NMAP es una herramienta que utilizafingerprinting activo para mapearpuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
76
Ataques de Seguridad
bull Escaneo de puertos El escaneo depuertos se basa en el FingerprintingActivo es decir transmite y recibesentildeales como ICMP TELNET SNMPdesde un blanco determinado en lared esto con el fin de obtenerinformacioacuten de dicho blanco en estecaso informacioacuten acerca de suspuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
77
Ataques de Seguridad
bull Sniffing Para llevar a cabo el sniffing esnecesario contar con un ldquopacket snifferrdquoque puede ser software instalado en unacomputadora o un dispositivoindependiente (appliance) estedispositivo es utilizado para interceptar yregistrar traacutefico que pasa a traveacutes de unared o de un segmento de la misma(Puede ser de una red ethernet owireless)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
78
Ataques de Seguridad
bull Spoofing Los ataques tipo spoofing sonaquellos en los que una persona oprograma logra hacerse pasar por otrafalsificando informacioacuten o utilizando laingenieriacutea algunos ataques tipo spoofingson los siguientes
- Falsificacioacuten de direccioacuten de email
- Falsificacioacuten de ID de llamadas telefoacutenicas
- Falsificacioacuten de sitios de internet (phishing)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
79
Ataques de Seguridad
bull Phishing Es el uso de teacutecnicas deingenieriacutea social con la finalidad deadquirir de manera fraudulentainformacioacuten confidencial comonombres de usuarios contrasentildeasinformacioacuten de tarjetas de creacutedito
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
80
Ataques de Seguridad
bull Ingenieriacutea Social Se refiere a unacoleccioacuten de teacutecnicas utilizadas paramanipular a las personas para querealicen alguna accioacuten o divulgueninformacioacuten confidencial
Algunos ingenieros sociales notablesson
- Kevin Mitnik
- Frank Abagnale
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
Ingenieriacutea Social
Es el conjunto de meacutetodos y praacutecticas usados para obtener informacioacuten de usuarios legiacutetimos y con la informacioacuten obtenida lograr acceso a sistemas protegidos siendo esta praacutectica de uso comuacuten entre piratas informaacuteticos y delincuentes computacionales
Coacutemo me afecta Al no validar las referencias o no seguir el protocolo de seguridad adecuado para divulgar contrasentildeas o cualquier otra informacioacuten sensible podemos ser coacutemplices de un crimen Meacutexico ha acordado con organismos internacionales la homologacioacuten yo adecuacioacuten de coacutedigos penales para que estos delitos sean perseguidos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 81
Ingenieriacutea Social
Coacutemo puedo saber si estoy siendo viacutectima de un ingeniero social Muy simple cuando alguien nos pide alguacuten tipo de informacioacuten privilegiada y esta persona es insistente cuando le requerimos seguir un protocolo para validar su intencioacuten es altamente probable que estemos siendo viacutectimas de un intento de robo de informacioacuten por un ingeniero socialhacker
Coacutemo puedo evitarlo Sencillo si no confiamos en la persona que nos solicita los datos (supongamos un teacutecnico de soporte de nuestro lugar de trabajo) podemos pedirle que nos deje sus datos y comunicarnos con el 10 minutos despueacutes de validar que la peticioacuten es legiacutetima es decir soacutelo sigamos los protocolos que existen en el trabajo y crear los propios en casa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 82
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra los Sistemas que Utilizan Tecnologiacuteas de Informacioacuten
bull Artiacuteculo 6 Acceso indebido
bull Artiacuteculo 7 Sabotaje o dantildeo a sistemas
bull Artiacuteculo 8 Favorecimiento culposo del sabotaje o dantildeo
bull Artiacuteculo 9 Acceso indebido o sabotaje a sistemas protegidos
bull Artiacuteculo 10 Posesioacuten de equipos o prestacioacuten de servicios de sabotaje
bull Artiacuteculo 11 Espionaje informaacutetico
bull Artiacuteculo 12 Falsificacioacuten de documentos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 83
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Propiedad
bull Artiacuteculo 13 Hurto
bull Artiacuteculo 14 Fraude
bull Artiacuteculo 15 Obtencioacuten indebida de bienes o servicios
bull Artiacuteculo 16 Manejo fraudulento de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 17 Apropiacioacuten de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 18 Provisioacuten indebida de bienes o servicios
bull Artiacuteculo 19 Posesioacuten de equipo para falsificaciones
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 84
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Privacidad de las Personas y de las Comunicaciones
bullArtiacuteculo 20 Violacioacuten de la privacidad de la data o informacioacuten de caraacutecter personal
bullArtiacuteculo 21 Violacioacuten de la privacidad de las comunicaciones
bullArtiacuteculo 22 Revelacioacuten indebida de data o informacioacuten de caraacutecter personal
De los Delitos Contra Nintildeos Nintildeas o Adolescentes
bullArtiacuteculo 23 Difusioacuten o exhibicioacuten de material pornograacutefico
bullArtiacuteculo 24 Exhibicioacuten pornograacutefica de nintildeos o adolescentes
De los Delitos Contra el Orden Econoacutemico
bullArtiacuteculo 25 Apropiacioacuten de propiedad intelectual
bullArtiacuteculo 26 Oferta engantildeosa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 85
Plan de Contingencia Continuidad Operacional
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 86
Plan de Contingencia
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 87
ldquoConjunto de Normas y Procedimientos documentadosy comunicados que tienen por objetivo minimizar los riesgos informaacuteticos mas probablesrdquo
InvolucrabullUso de herramientas
bullCumplimiento de Tareas por
parte de personas
Plan de Contingencia
Consta de tres subplanes independientes
bull Plan de Respaldo crear y conservar en un lugar seguro copias de seguridad de la informacioacuten
bull Pla de Emergencia queacute medidas tomar cuando se estaacute materializando una amenaza o cuando acaba de producirse
bull Plan de Recuperacioacuten medidas que se aplicaran cuando se ha producido un desastre El objetivo es evaluar el impacto y regresar lo antes posible
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 88
Plan de Contingencia
En la elaboracioacuten de este plan no se puede dejar por fuera a los miembros de la organizacioacuten el cual debe estar informado y entrenado para actuar en las funciones que le hayan sido encomendadas en caso de producirse una amenaza o impacto
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 89
Continuidad Operacional
Business Continuity Planning (Plan de Continuidad de negocios)
bull Plan Baacutesico
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Coldsite)
bull Plan Intermedio
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan Alto
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan de respuesta y continuidad de negocios alternativo (sin asistencia de sistemas)
bull Stress Testing al Plan
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 90
El Stress Testing
bull Poner a prueba el planbull Revise y evalueacute
bull Respaldosbull Oportunidad integridad y funcionalidadbull Custodia y transporte
bull Cold y Hotsitebull Funcionalidad accesibilidad y compatibilidadbull Actualizacioacuten oportuna (hotsite)
bull Personalbull Roles y funcionesbull Accesibilidad (contactos y comunicaciones)
bull Simulacioacuten de cataacutestrofesbull Sin previo aviso el director encargado del BCP se presenta en el centro de computo
cronometro en mano y baja la cuchilla de electricidad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 91
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de Lehman Brothers
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el WorldTrade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehman se desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del World Trade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehman teniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 92
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de LehmanBrothers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 93
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el World Trade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehmanse desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 94
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del WorldTrade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehmanteniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 95
La Contingencia Manual la Uacuteltima Frontera
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 96
05062015 97
DATOS BAacuteSICOS
Responsable A Nivel Corporativo Responsable(s) A Nivel Regional
PROVEEDOR (ES)
Origen Responsable Insumo (s)
RESULTADOS
Normas y Procedimientos Asociados Fecha uacuteltima revisioacuten Sistemas Aplicaciones Asociadas
Proceso
CALIFICACIOacuteN DE CONTROLES DE ENTRADA
Actividad
RECOMENDACIONES
Procesamiento
Automaacutetico (A)Manual (M)
Frecuencia
Adiestramiento Proceso Sistema N y P Otros
Negocio Area Localidad
Responsable
Nombre CargoNombre Cargo
NOMBRE
ELABORADO POR
CARGO FIRMA
Calidad de Data (B) Buena (R) Regular (M) Mala Oportunidad (AT) A Tiempo (R) Retrasada Revisioacuten Aprobacioacuten (S) Si (N) NoLEYENDA
Calificacioacuten (F) Fuerte (M) Medio (B) Bajo
DescripcioacutenResponsableDescripcioacuten
Tarea
Descripcioacuten
FRECUENCIA DE LA TAREA Diaria (D) Semanal (S) Mensual (M) Trimestral (T) Anual (A) Ocasional (O)
Soportes Recepcioacuten (P) Papel (E) Electroacutenico Archivo (S) Si (N) No Soportes Enviacuteo (S) Si (N) No Backup (S) Si (N) No
Producto (s) Cliente ReceptorControl
de salida
SoportesFrecuencia
Recepcioacuten Backup
DOCUMENTOS SISTEMAS ASOCIADOS A LOS CONTROLES
CALIFICACIOacuteN DE CONTROLES (por parte del Cliente Receptor)
Revisioacuten
Aprobacioacuten
Revisioacuten
AprobacioacutenTipo de control
Procesamiento
Automaacutetico (A)Manual (M)
Control
De EntradaTipo de control
Soportes
Recepcioacuten Archivo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 98
DATOS BAacuteSICOS
TareaActividad
Proceso Responsable del Proceso
Fecha de Elaboracioacuten 2015
Accioacuten (es) Responsable (s)
OBSERVACIONES ELABORADO POR
FIRMA
NOMBRE
Plan de recuperacioacuten y Reactivacioacuten de Finanzas
Recomendaciones Acciones
La Cadena de Valor de una Organizacioacuten de Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 99
ASESORAR EN CONTROLES DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR DELEGACIONES FINANCIERAS
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
CONTROLAR SEGURIDAD SISTEMA
OPERACIONALES ADMINISTRATIVOS Y OTROS
SISTEMAS FINANCIEROS
DESARROLLAR CONTROLES
DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR Y DESARROLLAR PLAN INTEGRAL DE CONTROL ( PIC )
Asesorar en controles de procesos normas y
Procedimientos
Administrar delegaciones financieras
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
Controlar seguridad sistema
operacionales administrativos y otros
sistemas financieros
Desarrollar
controles de
procesos
normas y
procedimientos
Administrar y desarrollar plan integral de control ( PIC )
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 46
Estado del ataque Ejemplo de Acciones
1-Buacutesqueda de Ingreso Correr un scanner de puertos
2-Penetracioacuten Explorar un sistema sin parches de seguridad
3-Elevacioacuten de Privilegios Lograr cuenta de Administrador
5-Enmascaramiento Borrado de rastros del ingreso y ataque
4-Ataque en si mismo Robo de datos destruccioacuten del sitio web etc
INTRUSO
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 47
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 48
Actuacioacuten del Criminal
bull Se requieren talentos especiales
bull El fraude ha crecido gracias a la aparicioacuten de las computadoras
Mitos
bull Dinero
bull Satisfaccioacuten (egocentrismo)
bull Ideologiacutea
bull Psicosis
Motivaciones personales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 49
bull Ambiente de trabajo
bull Prestaciones
bull Nivel de confianza interpersonal
bull Eacutetica ambiental
bull Nivel de stress
bull AMBIENTE DE CONTROL INTERNO
Motivaciones ambientales
Ethical Hacking
Es una intrusioacuten eacutetica es la aplicacioacuten de herramientas de intrusioacuten penetracioacuten robo personificacioacuten y negacioacuten de servicio llevado a cabo por hackers eacuteticos es decir personas con la experiencia y conocimiento suficiente para llevar a cabo estas pruebas en nombre de la organizacioacuten es decir de manera legal y prevista para determinar el nivel de seguridad de una red de equipos o servicios (incluido el aspecto de ingenieriacutea social)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 50
Ethical Hacking
bull al conocer el nivel de seguridad que se tiene en nuestra organizacioacuten es mucho maacutes sencillo no simple el tomar medidas que puedan subsanar estas deficienciasiquestPor queacute es
Importante
bull No al usar las armas que el enemigo usa es maacutes factible que podamos determinar el nivel de riesgo y por tanto la respuesta que debemos dar ante un ataque vieacutendolo como analogiacutea meacutedica es como cuando nos vacunan pues nos inoculan una versioacuten del virus del cual nos quieren hacer inmunes
iquestNo es contraproducente
bull Al contratar un servicio o realizarlo de manera interna estamos confiando en la eacutetica profesional de quien evaluacutea por lo que siacute siempre llevamos un riesgo pero se establece un contrato de buena fe hacieacutendolo suficientemente fiable (asegurando)iquestEs fiable
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 51
Ejemplos de Criacutemenes Electroacutenicos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 52
Ataque en 1986 de alemanes trabajando para la KGB contra sistemas estrateacutegicos de EEUU (Clifford Stoll Cuckooacutes egg)
El gusano Morris que se propagoacute por internet en 1988
causando un problema de DoS La causa fue la interrupcioacuten
causada por un programa escrito por Robert Tappan Morris
414 Gang enviacutea ataques contra los registros meacutedicos del
hospital para enfermos de caacutencer Sloan-Kettering
Ataques de Kevin Mitnick 1989-1996
Penetracioacuten de la red de Microsoft en octubre de 2000
por un cracker que ganoacute acceso a programas en desarrollo
Esparcimiento del Love Letter difundido por Onel Guzmaacuten en
Filipinas
53
DDoS contra Yahoo Amazon y Zdnet
Muacuteltiples problemas por virus desde
entonces
Target (Robo de informacioacuten de clientes
Identidad y datos financieros)
Juegos del Hambre
Ataque a Sony (Cyberterrorismo) y la
Respuesta con el apagoacuten de internet a
Korea del Norte
Carnabank (Europa oriental europa
occidental EEUU Panamaacute)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
Ejemplos de Criacutemenes Electroacutenicos
Algunas Clases de Ataques
Negacioacuten de Servicio (DoS)
Robo de contrasentildeas
Robo de identidad
Ingenieriacutea social
Defacement
FraudePirateriacutea de
softwareDumpster
divingCoacutedigo
MaliciosoIP spoofing
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 54
Algunas Clases de Ataques
EspionajeDestruccioacuten o alteracioacuten de informacioacuten
Uso de scripts de ataque
desarrolladosPhishing
Ciber -Terrorismo
War DialingWar
DrivingWalkingWar Chalking
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 55
El Caso Carbanak 1MMMUS$
La banda delictiva ciberneacutetica CARBANAK roba mil millones de doacutelares de 100 instituciones financieras en todo el mundo Kaspersky Lab la INTERPOL EUROPOL y autoridades de diferentes paiacuteses han unido sus fuerzas para dejar al descubierto el complot delictivo de un robo ciberneacutetico sin precedentes Hasta mil millones de doacutelares americanos fueron robados en cerca de dos antildeos de instituciones financieras en todo el mundo Los expertos informan que la responsabilidad del robo recae en una banda multinacional de ciberdelincuentesde Rusia Ucrania y otras partes de Europa asiacute como de China
La banda CARBANAK responsable del robo ciberneacutetico utilizoacute teacutecnicas extraiacutedas del arsenal de los ataques selectivos El complot marca el inicio de una nueva etapa en la evolucioacuten de la actividad de delincuencia ciberneacutetica donde usuarios maliciosos roban dinero directamente de los bancos y evitan concentrar sus ataques en los usuarios finales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 56
Comunicado de prensa 160215 - Karpersky
5705062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
MALWARE
El malware es un tipo de software que tiene como objetivo infiltrarse o dantildear un ordenador sistema de informacioacuten sin el consentimiento de su propietario
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 58
POPUP
bull Un pop-up es un tipo de ventana web que aparece delante de la ventana de un navegador al visitar una paacutegina web
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 59
VOLVER
ADWARE
bull Un programa de clase adware es cualquier programa que automaacuteticamente muestra publicidad web al usuario durante su instalacioacuten o durante su uso para generar lucro a sus autores
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 60
SPAM
bull Se llama spam correo basura a los mensajes no solicitados no deseados o de remitente no conocido habitualmente de tipo publicitario generalmente enviados
en grandes cantidades que perjudican al receptor
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 61
Bomba Loacutegica
Son programas informaacuteticos que se instala en un ordenador y permanece oculto hasta cumplirse una o maacutes condiciones preprogramadas para en ese momento ejecutar una accioacuten
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 62
volver
VIRUS DE MACROS
bull Es una secuencia de oacuterdenes de teclado y ratoacuten asignadas a una sola tecla Los virus de macros afectan a archivos y plantillas que los contienen hacieacutendose pasar por una macro y no actuaraacuten hasta que el archivo se abra o utilice
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 63
VOLVER
VIRUS RESIDENTES
bull Se colocan automaacuteticamente en la memoria RAM del ordenador De este modo pueden controlar e interceptar todas las operaciones llevadas a cabo por el sistema operativo infectando todos aquellos ficheros yo programas que sean ejecutados abiertos cerrados renombrados copiados etc
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 64
VIRUS DE ENLACE
bull Modifican las direcciones que permiten a nivel interno acceder a cada uno de los archivos existentes y como consecuencia no es posible localizarlos y trabajar con ellos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 65
VOLVER
VIRUS MUTANTES
bull Son virus que mutan es decir x Debido a estas mutaciones cada generacioacuten de virus es diferente a la versioacuten anterior dificultando asiacute su deteccioacuten y eliminacioacuten
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 66
VIRUS DE BOOT
bull Se activan en el momento en el que se arranca el ordenador desde un disco infectado ya sea desde el disco duro o desde una memoria USB
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 67
VOLVER
VIRUS DE PROGRAMA
bull Comuacutenmente infectan archivos con extensiones EXE COM OVL DRV BIN DLL y SYS
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 68
VOLVER
VIRUS DE SOBREESCRITURA
bull Sobre-escriben en el interior de los archivos atacados haciendo que se pierda el contenido de los mismos
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 69
Ataques de Seguridad
bull Spyware Es un software de computadoraque al instalarse intercepta o toma controlparcial de la interaccioacuten de lacomputadora y el usuario esto sin que elmismo se de cuenta Estos programaspueden recolectar diferentes tipos deinformacioacuten de los usuarios asiacute comoinstalar software adicional sin elconsentimiento de los mismos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 70
71
Herramientas de Seguridad
bull Gusano Es un programa de computadora quepuede replicarse a si mismo utiliza la red paraenviar copias de si mismo a otros nodos y lopuede hacer sin la intervencioacuten del usuario
A diferencia de los ldquovirusrdquo los gusanos nonecesitan estar amarrados a un programa y sufuncioacuten es principalmente dantildear la red (ejdesempentildeo) mientras que los virus dantildeanarchivos en computadoras
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
72
Ataques de Seguridad
bull Caballo de Troya Es una programa que seinstala bajo la creencia de que se estainstalando alguna otra cosa Los troyanosson programas muy utilizados parainstalar programas tipo ldquobackdoorsrdquo quepermiten el acceso no autorizado a lacomputadora atacada un ejemplo deprogramas tipo backdoor son losKeyloogers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
73
Ataques de Seguridad
bull DoS Denial of service- Ataques quehacen indisponible un servicio a losusuarios
bull DDoS Son conocidos como DNSBackbone Distributed Denial ofServices ndash Ataques tienen comoblanco los servidores raiacutez DNS por lotanto afectan uno de los pilares delInternet los nombres de los dominios
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
74
Ataques de Seguridad
bull Footprinting Teacutecnica utilizada para reunir informacioacuten acerca de sistemas computacionales y las entidades a las que pertenece algunos ejemplos son
- Domain queries
- Network queries
- Organizational queries
- TCP scans
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
75
Ataques de Seguridad
bull Fingerprinting Tambieacuten es conocidocomo TCPIP stack fingerprinting y esutilizado para determinar que sistemaoperativo utiliza alguacuten blanco en la redExiste dos tipos de fingerprinting
- Pasivo- Activo
NMAP es una herramienta que utilizafingerprinting activo para mapearpuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
76
Ataques de Seguridad
bull Escaneo de puertos El escaneo depuertos se basa en el FingerprintingActivo es decir transmite y recibesentildeales como ICMP TELNET SNMPdesde un blanco determinado en lared esto con el fin de obtenerinformacioacuten de dicho blanco en estecaso informacioacuten acerca de suspuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
77
Ataques de Seguridad
bull Sniffing Para llevar a cabo el sniffing esnecesario contar con un ldquopacket snifferrdquoque puede ser software instalado en unacomputadora o un dispositivoindependiente (appliance) estedispositivo es utilizado para interceptar yregistrar traacutefico que pasa a traveacutes de unared o de un segmento de la misma(Puede ser de una red ethernet owireless)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
78
Ataques de Seguridad
bull Spoofing Los ataques tipo spoofing sonaquellos en los que una persona oprograma logra hacerse pasar por otrafalsificando informacioacuten o utilizando laingenieriacutea algunos ataques tipo spoofingson los siguientes
- Falsificacioacuten de direccioacuten de email
- Falsificacioacuten de ID de llamadas telefoacutenicas
- Falsificacioacuten de sitios de internet (phishing)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
79
Ataques de Seguridad
bull Phishing Es el uso de teacutecnicas deingenieriacutea social con la finalidad deadquirir de manera fraudulentainformacioacuten confidencial comonombres de usuarios contrasentildeasinformacioacuten de tarjetas de creacutedito
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
80
Ataques de Seguridad
bull Ingenieriacutea Social Se refiere a unacoleccioacuten de teacutecnicas utilizadas paramanipular a las personas para querealicen alguna accioacuten o divulgueninformacioacuten confidencial
Algunos ingenieros sociales notablesson
- Kevin Mitnik
- Frank Abagnale
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
Ingenieriacutea Social
Es el conjunto de meacutetodos y praacutecticas usados para obtener informacioacuten de usuarios legiacutetimos y con la informacioacuten obtenida lograr acceso a sistemas protegidos siendo esta praacutectica de uso comuacuten entre piratas informaacuteticos y delincuentes computacionales
Coacutemo me afecta Al no validar las referencias o no seguir el protocolo de seguridad adecuado para divulgar contrasentildeas o cualquier otra informacioacuten sensible podemos ser coacutemplices de un crimen Meacutexico ha acordado con organismos internacionales la homologacioacuten yo adecuacioacuten de coacutedigos penales para que estos delitos sean perseguidos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 81
Ingenieriacutea Social
Coacutemo puedo saber si estoy siendo viacutectima de un ingeniero social Muy simple cuando alguien nos pide alguacuten tipo de informacioacuten privilegiada y esta persona es insistente cuando le requerimos seguir un protocolo para validar su intencioacuten es altamente probable que estemos siendo viacutectimas de un intento de robo de informacioacuten por un ingeniero socialhacker
Coacutemo puedo evitarlo Sencillo si no confiamos en la persona que nos solicita los datos (supongamos un teacutecnico de soporte de nuestro lugar de trabajo) podemos pedirle que nos deje sus datos y comunicarnos con el 10 minutos despueacutes de validar que la peticioacuten es legiacutetima es decir soacutelo sigamos los protocolos que existen en el trabajo y crear los propios en casa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 82
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra los Sistemas que Utilizan Tecnologiacuteas de Informacioacuten
bull Artiacuteculo 6 Acceso indebido
bull Artiacuteculo 7 Sabotaje o dantildeo a sistemas
bull Artiacuteculo 8 Favorecimiento culposo del sabotaje o dantildeo
bull Artiacuteculo 9 Acceso indebido o sabotaje a sistemas protegidos
bull Artiacuteculo 10 Posesioacuten de equipos o prestacioacuten de servicios de sabotaje
bull Artiacuteculo 11 Espionaje informaacutetico
bull Artiacuteculo 12 Falsificacioacuten de documentos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 83
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Propiedad
bull Artiacuteculo 13 Hurto
bull Artiacuteculo 14 Fraude
bull Artiacuteculo 15 Obtencioacuten indebida de bienes o servicios
bull Artiacuteculo 16 Manejo fraudulento de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 17 Apropiacioacuten de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 18 Provisioacuten indebida de bienes o servicios
bull Artiacuteculo 19 Posesioacuten de equipo para falsificaciones
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 84
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Privacidad de las Personas y de las Comunicaciones
bullArtiacuteculo 20 Violacioacuten de la privacidad de la data o informacioacuten de caraacutecter personal
bullArtiacuteculo 21 Violacioacuten de la privacidad de las comunicaciones
bullArtiacuteculo 22 Revelacioacuten indebida de data o informacioacuten de caraacutecter personal
De los Delitos Contra Nintildeos Nintildeas o Adolescentes
bullArtiacuteculo 23 Difusioacuten o exhibicioacuten de material pornograacutefico
bullArtiacuteculo 24 Exhibicioacuten pornograacutefica de nintildeos o adolescentes
De los Delitos Contra el Orden Econoacutemico
bullArtiacuteculo 25 Apropiacioacuten de propiedad intelectual
bullArtiacuteculo 26 Oferta engantildeosa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 85
Plan de Contingencia Continuidad Operacional
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 86
Plan de Contingencia
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 87
ldquoConjunto de Normas y Procedimientos documentadosy comunicados que tienen por objetivo minimizar los riesgos informaacuteticos mas probablesrdquo
InvolucrabullUso de herramientas
bullCumplimiento de Tareas por
parte de personas
Plan de Contingencia
Consta de tres subplanes independientes
bull Plan de Respaldo crear y conservar en un lugar seguro copias de seguridad de la informacioacuten
bull Pla de Emergencia queacute medidas tomar cuando se estaacute materializando una amenaza o cuando acaba de producirse
bull Plan de Recuperacioacuten medidas que se aplicaran cuando se ha producido un desastre El objetivo es evaluar el impacto y regresar lo antes posible
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 88
Plan de Contingencia
En la elaboracioacuten de este plan no se puede dejar por fuera a los miembros de la organizacioacuten el cual debe estar informado y entrenado para actuar en las funciones que le hayan sido encomendadas en caso de producirse una amenaza o impacto
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 89
Continuidad Operacional
Business Continuity Planning (Plan de Continuidad de negocios)
bull Plan Baacutesico
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Coldsite)
bull Plan Intermedio
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan Alto
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan de respuesta y continuidad de negocios alternativo (sin asistencia de sistemas)
bull Stress Testing al Plan
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 90
El Stress Testing
bull Poner a prueba el planbull Revise y evalueacute
bull Respaldosbull Oportunidad integridad y funcionalidadbull Custodia y transporte
bull Cold y Hotsitebull Funcionalidad accesibilidad y compatibilidadbull Actualizacioacuten oportuna (hotsite)
bull Personalbull Roles y funcionesbull Accesibilidad (contactos y comunicaciones)
bull Simulacioacuten de cataacutestrofesbull Sin previo aviso el director encargado del BCP se presenta en el centro de computo
cronometro en mano y baja la cuchilla de electricidad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 91
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de Lehman Brothers
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el WorldTrade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehman se desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del World Trade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehman teniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 92
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de LehmanBrothers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 93
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el World Trade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehmanse desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 94
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del WorldTrade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehmanteniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 95
La Contingencia Manual la Uacuteltima Frontera
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 96
05062015 97
DATOS BAacuteSICOS
Responsable A Nivel Corporativo Responsable(s) A Nivel Regional
PROVEEDOR (ES)
Origen Responsable Insumo (s)
RESULTADOS
Normas y Procedimientos Asociados Fecha uacuteltima revisioacuten Sistemas Aplicaciones Asociadas
Proceso
CALIFICACIOacuteN DE CONTROLES DE ENTRADA
Actividad
RECOMENDACIONES
Procesamiento
Automaacutetico (A)Manual (M)
Frecuencia
Adiestramiento Proceso Sistema N y P Otros
Negocio Area Localidad
Responsable
Nombre CargoNombre Cargo
NOMBRE
ELABORADO POR
CARGO FIRMA
Calidad de Data (B) Buena (R) Regular (M) Mala Oportunidad (AT) A Tiempo (R) Retrasada Revisioacuten Aprobacioacuten (S) Si (N) NoLEYENDA
Calificacioacuten (F) Fuerte (M) Medio (B) Bajo
DescripcioacutenResponsableDescripcioacuten
Tarea
Descripcioacuten
FRECUENCIA DE LA TAREA Diaria (D) Semanal (S) Mensual (M) Trimestral (T) Anual (A) Ocasional (O)
Soportes Recepcioacuten (P) Papel (E) Electroacutenico Archivo (S) Si (N) No Soportes Enviacuteo (S) Si (N) No Backup (S) Si (N) No
Producto (s) Cliente ReceptorControl
de salida
SoportesFrecuencia
Recepcioacuten Backup
DOCUMENTOS SISTEMAS ASOCIADOS A LOS CONTROLES
CALIFICACIOacuteN DE CONTROLES (por parte del Cliente Receptor)
Revisioacuten
Aprobacioacuten
Revisioacuten
AprobacioacutenTipo de control
Procesamiento
Automaacutetico (A)Manual (M)
Control
De EntradaTipo de control
Soportes
Recepcioacuten Archivo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 98
DATOS BAacuteSICOS
TareaActividad
Proceso Responsable del Proceso
Fecha de Elaboracioacuten 2015
Accioacuten (es) Responsable (s)
OBSERVACIONES ELABORADO POR
FIRMA
NOMBRE
Plan de recuperacioacuten y Reactivacioacuten de Finanzas
Recomendaciones Acciones
La Cadena de Valor de una Organizacioacuten de Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 99
ASESORAR EN CONTROLES DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR DELEGACIONES FINANCIERAS
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
CONTROLAR SEGURIDAD SISTEMA
OPERACIONALES ADMINISTRATIVOS Y OTROS
SISTEMAS FINANCIEROS
DESARROLLAR CONTROLES
DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR Y DESARROLLAR PLAN INTEGRAL DE CONTROL ( PIC )
Asesorar en controles de procesos normas y
Procedimientos
Administrar delegaciones financieras
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
Controlar seguridad sistema
operacionales administrativos y otros
sistemas financieros
Desarrollar
controles de
procesos
normas y
procedimientos
Administrar y desarrollar plan integral de control ( PIC )
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 47
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 48
Actuacioacuten del Criminal
bull Se requieren talentos especiales
bull El fraude ha crecido gracias a la aparicioacuten de las computadoras
Mitos
bull Dinero
bull Satisfaccioacuten (egocentrismo)
bull Ideologiacutea
bull Psicosis
Motivaciones personales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 49
bull Ambiente de trabajo
bull Prestaciones
bull Nivel de confianza interpersonal
bull Eacutetica ambiental
bull Nivel de stress
bull AMBIENTE DE CONTROL INTERNO
Motivaciones ambientales
Ethical Hacking
Es una intrusioacuten eacutetica es la aplicacioacuten de herramientas de intrusioacuten penetracioacuten robo personificacioacuten y negacioacuten de servicio llevado a cabo por hackers eacuteticos es decir personas con la experiencia y conocimiento suficiente para llevar a cabo estas pruebas en nombre de la organizacioacuten es decir de manera legal y prevista para determinar el nivel de seguridad de una red de equipos o servicios (incluido el aspecto de ingenieriacutea social)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 50
Ethical Hacking
bull al conocer el nivel de seguridad que se tiene en nuestra organizacioacuten es mucho maacutes sencillo no simple el tomar medidas que puedan subsanar estas deficienciasiquestPor queacute es
Importante
bull No al usar las armas que el enemigo usa es maacutes factible que podamos determinar el nivel de riesgo y por tanto la respuesta que debemos dar ante un ataque vieacutendolo como analogiacutea meacutedica es como cuando nos vacunan pues nos inoculan una versioacuten del virus del cual nos quieren hacer inmunes
iquestNo es contraproducente
bull Al contratar un servicio o realizarlo de manera interna estamos confiando en la eacutetica profesional de quien evaluacutea por lo que siacute siempre llevamos un riesgo pero se establece un contrato de buena fe hacieacutendolo suficientemente fiable (asegurando)iquestEs fiable
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 51
Ejemplos de Criacutemenes Electroacutenicos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 52
Ataque en 1986 de alemanes trabajando para la KGB contra sistemas estrateacutegicos de EEUU (Clifford Stoll Cuckooacutes egg)
El gusano Morris que se propagoacute por internet en 1988
causando un problema de DoS La causa fue la interrupcioacuten
causada por un programa escrito por Robert Tappan Morris
414 Gang enviacutea ataques contra los registros meacutedicos del
hospital para enfermos de caacutencer Sloan-Kettering
Ataques de Kevin Mitnick 1989-1996
Penetracioacuten de la red de Microsoft en octubre de 2000
por un cracker que ganoacute acceso a programas en desarrollo
Esparcimiento del Love Letter difundido por Onel Guzmaacuten en
Filipinas
53
DDoS contra Yahoo Amazon y Zdnet
Muacuteltiples problemas por virus desde
entonces
Target (Robo de informacioacuten de clientes
Identidad y datos financieros)
Juegos del Hambre
Ataque a Sony (Cyberterrorismo) y la
Respuesta con el apagoacuten de internet a
Korea del Norte
Carnabank (Europa oriental europa
occidental EEUU Panamaacute)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
Ejemplos de Criacutemenes Electroacutenicos
Algunas Clases de Ataques
Negacioacuten de Servicio (DoS)
Robo de contrasentildeas
Robo de identidad
Ingenieriacutea social
Defacement
FraudePirateriacutea de
softwareDumpster
divingCoacutedigo
MaliciosoIP spoofing
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 54
Algunas Clases de Ataques
EspionajeDestruccioacuten o alteracioacuten de informacioacuten
Uso de scripts de ataque
desarrolladosPhishing
Ciber -Terrorismo
War DialingWar
DrivingWalkingWar Chalking
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 55
El Caso Carbanak 1MMMUS$
La banda delictiva ciberneacutetica CARBANAK roba mil millones de doacutelares de 100 instituciones financieras en todo el mundo Kaspersky Lab la INTERPOL EUROPOL y autoridades de diferentes paiacuteses han unido sus fuerzas para dejar al descubierto el complot delictivo de un robo ciberneacutetico sin precedentes Hasta mil millones de doacutelares americanos fueron robados en cerca de dos antildeos de instituciones financieras en todo el mundo Los expertos informan que la responsabilidad del robo recae en una banda multinacional de ciberdelincuentesde Rusia Ucrania y otras partes de Europa asiacute como de China
La banda CARBANAK responsable del robo ciberneacutetico utilizoacute teacutecnicas extraiacutedas del arsenal de los ataques selectivos El complot marca el inicio de una nueva etapa en la evolucioacuten de la actividad de delincuencia ciberneacutetica donde usuarios maliciosos roban dinero directamente de los bancos y evitan concentrar sus ataques en los usuarios finales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 56
Comunicado de prensa 160215 - Karpersky
5705062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
MALWARE
El malware es un tipo de software que tiene como objetivo infiltrarse o dantildear un ordenador sistema de informacioacuten sin el consentimiento de su propietario
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 58
POPUP
bull Un pop-up es un tipo de ventana web que aparece delante de la ventana de un navegador al visitar una paacutegina web
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 59
VOLVER
ADWARE
bull Un programa de clase adware es cualquier programa que automaacuteticamente muestra publicidad web al usuario durante su instalacioacuten o durante su uso para generar lucro a sus autores
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 60
SPAM
bull Se llama spam correo basura a los mensajes no solicitados no deseados o de remitente no conocido habitualmente de tipo publicitario generalmente enviados
en grandes cantidades que perjudican al receptor
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 61
Bomba Loacutegica
Son programas informaacuteticos que se instala en un ordenador y permanece oculto hasta cumplirse una o maacutes condiciones preprogramadas para en ese momento ejecutar una accioacuten
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 62
volver
VIRUS DE MACROS
bull Es una secuencia de oacuterdenes de teclado y ratoacuten asignadas a una sola tecla Los virus de macros afectan a archivos y plantillas que los contienen hacieacutendose pasar por una macro y no actuaraacuten hasta que el archivo se abra o utilice
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 63
VOLVER
VIRUS RESIDENTES
bull Se colocan automaacuteticamente en la memoria RAM del ordenador De este modo pueden controlar e interceptar todas las operaciones llevadas a cabo por el sistema operativo infectando todos aquellos ficheros yo programas que sean ejecutados abiertos cerrados renombrados copiados etc
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 64
VIRUS DE ENLACE
bull Modifican las direcciones que permiten a nivel interno acceder a cada uno de los archivos existentes y como consecuencia no es posible localizarlos y trabajar con ellos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 65
VOLVER
VIRUS MUTANTES
bull Son virus que mutan es decir x Debido a estas mutaciones cada generacioacuten de virus es diferente a la versioacuten anterior dificultando asiacute su deteccioacuten y eliminacioacuten
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 66
VIRUS DE BOOT
bull Se activan en el momento en el que se arranca el ordenador desde un disco infectado ya sea desde el disco duro o desde una memoria USB
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 67
VOLVER
VIRUS DE PROGRAMA
bull Comuacutenmente infectan archivos con extensiones EXE COM OVL DRV BIN DLL y SYS
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 68
VOLVER
VIRUS DE SOBREESCRITURA
bull Sobre-escriben en el interior de los archivos atacados haciendo que se pierda el contenido de los mismos
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 69
Ataques de Seguridad
bull Spyware Es un software de computadoraque al instalarse intercepta o toma controlparcial de la interaccioacuten de lacomputadora y el usuario esto sin que elmismo se de cuenta Estos programaspueden recolectar diferentes tipos deinformacioacuten de los usuarios asiacute comoinstalar software adicional sin elconsentimiento de los mismos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 70
71
Herramientas de Seguridad
bull Gusano Es un programa de computadora quepuede replicarse a si mismo utiliza la red paraenviar copias de si mismo a otros nodos y lopuede hacer sin la intervencioacuten del usuario
A diferencia de los ldquovirusrdquo los gusanos nonecesitan estar amarrados a un programa y sufuncioacuten es principalmente dantildear la red (ejdesempentildeo) mientras que los virus dantildeanarchivos en computadoras
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
72
Ataques de Seguridad
bull Caballo de Troya Es una programa que seinstala bajo la creencia de que se estainstalando alguna otra cosa Los troyanosson programas muy utilizados parainstalar programas tipo ldquobackdoorsrdquo quepermiten el acceso no autorizado a lacomputadora atacada un ejemplo deprogramas tipo backdoor son losKeyloogers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
73
Ataques de Seguridad
bull DoS Denial of service- Ataques quehacen indisponible un servicio a losusuarios
bull DDoS Son conocidos como DNSBackbone Distributed Denial ofServices ndash Ataques tienen comoblanco los servidores raiacutez DNS por lotanto afectan uno de los pilares delInternet los nombres de los dominios
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
74
Ataques de Seguridad
bull Footprinting Teacutecnica utilizada para reunir informacioacuten acerca de sistemas computacionales y las entidades a las que pertenece algunos ejemplos son
- Domain queries
- Network queries
- Organizational queries
- TCP scans
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
75
Ataques de Seguridad
bull Fingerprinting Tambieacuten es conocidocomo TCPIP stack fingerprinting y esutilizado para determinar que sistemaoperativo utiliza alguacuten blanco en la redExiste dos tipos de fingerprinting
- Pasivo- Activo
NMAP es una herramienta que utilizafingerprinting activo para mapearpuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
76
Ataques de Seguridad
bull Escaneo de puertos El escaneo depuertos se basa en el FingerprintingActivo es decir transmite y recibesentildeales como ICMP TELNET SNMPdesde un blanco determinado en lared esto con el fin de obtenerinformacioacuten de dicho blanco en estecaso informacioacuten acerca de suspuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
77
Ataques de Seguridad
bull Sniffing Para llevar a cabo el sniffing esnecesario contar con un ldquopacket snifferrdquoque puede ser software instalado en unacomputadora o un dispositivoindependiente (appliance) estedispositivo es utilizado para interceptar yregistrar traacutefico que pasa a traveacutes de unared o de un segmento de la misma(Puede ser de una red ethernet owireless)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
78
Ataques de Seguridad
bull Spoofing Los ataques tipo spoofing sonaquellos en los que una persona oprograma logra hacerse pasar por otrafalsificando informacioacuten o utilizando laingenieriacutea algunos ataques tipo spoofingson los siguientes
- Falsificacioacuten de direccioacuten de email
- Falsificacioacuten de ID de llamadas telefoacutenicas
- Falsificacioacuten de sitios de internet (phishing)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
79
Ataques de Seguridad
bull Phishing Es el uso de teacutecnicas deingenieriacutea social con la finalidad deadquirir de manera fraudulentainformacioacuten confidencial comonombres de usuarios contrasentildeasinformacioacuten de tarjetas de creacutedito
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
80
Ataques de Seguridad
bull Ingenieriacutea Social Se refiere a unacoleccioacuten de teacutecnicas utilizadas paramanipular a las personas para querealicen alguna accioacuten o divulgueninformacioacuten confidencial
Algunos ingenieros sociales notablesson
- Kevin Mitnik
- Frank Abagnale
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
Ingenieriacutea Social
Es el conjunto de meacutetodos y praacutecticas usados para obtener informacioacuten de usuarios legiacutetimos y con la informacioacuten obtenida lograr acceso a sistemas protegidos siendo esta praacutectica de uso comuacuten entre piratas informaacuteticos y delincuentes computacionales
Coacutemo me afecta Al no validar las referencias o no seguir el protocolo de seguridad adecuado para divulgar contrasentildeas o cualquier otra informacioacuten sensible podemos ser coacutemplices de un crimen Meacutexico ha acordado con organismos internacionales la homologacioacuten yo adecuacioacuten de coacutedigos penales para que estos delitos sean perseguidos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 81
Ingenieriacutea Social
Coacutemo puedo saber si estoy siendo viacutectima de un ingeniero social Muy simple cuando alguien nos pide alguacuten tipo de informacioacuten privilegiada y esta persona es insistente cuando le requerimos seguir un protocolo para validar su intencioacuten es altamente probable que estemos siendo viacutectimas de un intento de robo de informacioacuten por un ingeniero socialhacker
Coacutemo puedo evitarlo Sencillo si no confiamos en la persona que nos solicita los datos (supongamos un teacutecnico de soporte de nuestro lugar de trabajo) podemos pedirle que nos deje sus datos y comunicarnos con el 10 minutos despueacutes de validar que la peticioacuten es legiacutetima es decir soacutelo sigamos los protocolos que existen en el trabajo y crear los propios en casa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 82
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra los Sistemas que Utilizan Tecnologiacuteas de Informacioacuten
bull Artiacuteculo 6 Acceso indebido
bull Artiacuteculo 7 Sabotaje o dantildeo a sistemas
bull Artiacuteculo 8 Favorecimiento culposo del sabotaje o dantildeo
bull Artiacuteculo 9 Acceso indebido o sabotaje a sistemas protegidos
bull Artiacuteculo 10 Posesioacuten de equipos o prestacioacuten de servicios de sabotaje
bull Artiacuteculo 11 Espionaje informaacutetico
bull Artiacuteculo 12 Falsificacioacuten de documentos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 83
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Propiedad
bull Artiacuteculo 13 Hurto
bull Artiacuteculo 14 Fraude
bull Artiacuteculo 15 Obtencioacuten indebida de bienes o servicios
bull Artiacuteculo 16 Manejo fraudulento de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 17 Apropiacioacuten de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 18 Provisioacuten indebida de bienes o servicios
bull Artiacuteculo 19 Posesioacuten de equipo para falsificaciones
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 84
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Privacidad de las Personas y de las Comunicaciones
bullArtiacuteculo 20 Violacioacuten de la privacidad de la data o informacioacuten de caraacutecter personal
bullArtiacuteculo 21 Violacioacuten de la privacidad de las comunicaciones
bullArtiacuteculo 22 Revelacioacuten indebida de data o informacioacuten de caraacutecter personal
De los Delitos Contra Nintildeos Nintildeas o Adolescentes
bullArtiacuteculo 23 Difusioacuten o exhibicioacuten de material pornograacutefico
bullArtiacuteculo 24 Exhibicioacuten pornograacutefica de nintildeos o adolescentes
De los Delitos Contra el Orden Econoacutemico
bullArtiacuteculo 25 Apropiacioacuten de propiedad intelectual
bullArtiacuteculo 26 Oferta engantildeosa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 85
Plan de Contingencia Continuidad Operacional
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 86
Plan de Contingencia
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 87
ldquoConjunto de Normas y Procedimientos documentadosy comunicados que tienen por objetivo minimizar los riesgos informaacuteticos mas probablesrdquo
InvolucrabullUso de herramientas
bullCumplimiento de Tareas por
parte de personas
Plan de Contingencia
Consta de tres subplanes independientes
bull Plan de Respaldo crear y conservar en un lugar seguro copias de seguridad de la informacioacuten
bull Pla de Emergencia queacute medidas tomar cuando se estaacute materializando una amenaza o cuando acaba de producirse
bull Plan de Recuperacioacuten medidas que se aplicaran cuando se ha producido un desastre El objetivo es evaluar el impacto y regresar lo antes posible
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 88
Plan de Contingencia
En la elaboracioacuten de este plan no se puede dejar por fuera a los miembros de la organizacioacuten el cual debe estar informado y entrenado para actuar en las funciones que le hayan sido encomendadas en caso de producirse una amenaza o impacto
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 89
Continuidad Operacional
Business Continuity Planning (Plan de Continuidad de negocios)
bull Plan Baacutesico
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Coldsite)
bull Plan Intermedio
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan Alto
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan de respuesta y continuidad de negocios alternativo (sin asistencia de sistemas)
bull Stress Testing al Plan
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 90
El Stress Testing
bull Poner a prueba el planbull Revise y evalueacute
bull Respaldosbull Oportunidad integridad y funcionalidadbull Custodia y transporte
bull Cold y Hotsitebull Funcionalidad accesibilidad y compatibilidadbull Actualizacioacuten oportuna (hotsite)
bull Personalbull Roles y funcionesbull Accesibilidad (contactos y comunicaciones)
bull Simulacioacuten de cataacutestrofesbull Sin previo aviso el director encargado del BCP se presenta en el centro de computo
cronometro en mano y baja la cuchilla de electricidad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 91
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de Lehman Brothers
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el WorldTrade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehman se desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del World Trade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehman teniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 92
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de LehmanBrothers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 93
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el World Trade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehmanse desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 94
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del WorldTrade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehmanteniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 95
La Contingencia Manual la Uacuteltima Frontera
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 96
05062015 97
DATOS BAacuteSICOS
Responsable A Nivel Corporativo Responsable(s) A Nivel Regional
PROVEEDOR (ES)
Origen Responsable Insumo (s)
RESULTADOS
Normas y Procedimientos Asociados Fecha uacuteltima revisioacuten Sistemas Aplicaciones Asociadas
Proceso
CALIFICACIOacuteN DE CONTROLES DE ENTRADA
Actividad
RECOMENDACIONES
Procesamiento
Automaacutetico (A)Manual (M)
Frecuencia
Adiestramiento Proceso Sistema N y P Otros
Negocio Area Localidad
Responsable
Nombre CargoNombre Cargo
NOMBRE
ELABORADO POR
CARGO FIRMA
Calidad de Data (B) Buena (R) Regular (M) Mala Oportunidad (AT) A Tiempo (R) Retrasada Revisioacuten Aprobacioacuten (S) Si (N) NoLEYENDA
Calificacioacuten (F) Fuerte (M) Medio (B) Bajo
DescripcioacutenResponsableDescripcioacuten
Tarea
Descripcioacuten
FRECUENCIA DE LA TAREA Diaria (D) Semanal (S) Mensual (M) Trimestral (T) Anual (A) Ocasional (O)
Soportes Recepcioacuten (P) Papel (E) Electroacutenico Archivo (S) Si (N) No Soportes Enviacuteo (S) Si (N) No Backup (S) Si (N) No
Producto (s) Cliente ReceptorControl
de salida
SoportesFrecuencia
Recepcioacuten Backup
DOCUMENTOS SISTEMAS ASOCIADOS A LOS CONTROLES
CALIFICACIOacuteN DE CONTROLES (por parte del Cliente Receptor)
Revisioacuten
Aprobacioacuten
Revisioacuten
AprobacioacutenTipo de control
Procesamiento
Automaacutetico (A)Manual (M)
Control
De EntradaTipo de control
Soportes
Recepcioacuten Archivo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 98
DATOS BAacuteSICOS
TareaActividad
Proceso Responsable del Proceso
Fecha de Elaboracioacuten 2015
Accioacuten (es) Responsable (s)
OBSERVACIONES ELABORADO POR
FIRMA
NOMBRE
Plan de recuperacioacuten y Reactivacioacuten de Finanzas
Recomendaciones Acciones
La Cadena de Valor de una Organizacioacuten de Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 99
ASESORAR EN CONTROLES DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR DELEGACIONES FINANCIERAS
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
CONTROLAR SEGURIDAD SISTEMA
OPERACIONALES ADMINISTRATIVOS Y OTROS
SISTEMAS FINANCIEROS
DESARROLLAR CONTROLES
DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR Y DESARROLLAR PLAN INTEGRAL DE CONTROL ( PIC )
Asesorar en controles de procesos normas y
Procedimientos
Administrar delegaciones financieras
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
Controlar seguridad sistema
operacionales administrativos y otros
sistemas financieros
Desarrollar
controles de
procesos
normas y
procedimientos
Administrar y desarrollar plan integral de control ( PIC )
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 48
Actuacioacuten del Criminal
bull Se requieren talentos especiales
bull El fraude ha crecido gracias a la aparicioacuten de las computadoras
Mitos
bull Dinero
bull Satisfaccioacuten (egocentrismo)
bull Ideologiacutea
bull Psicosis
Motivaciones personales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 49
bull Ambiente de trabajo
bull Prestaciones
bull Nivel de confianza interpersonal
bull Eacutetica ambiental
bull Nivel de stress
bull AMBIENTE DE CONTROL INTERNO
Motivaciones ambientales
Ethical Hacking
Es una intrusioacuten eacutetica es la aplicacioacuten de herramientas de intrusioacuten penetracioacuten robo personificacioacuten y negacioacuten de servicio llevado a cabo por hackers eacuteticos es decir personas con la experiencia y conocimiento suficiente para llevar a cabo estas pruebas en nombre de la organizacioacuten es decir de manera legal y prevista para determinar el nivel de seguridad de una red de equipos o servicios (incluido el aspecto de ingenieriacutea social)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 50
Ethical Hacking
bull al conocer el nivel de seguridad que se tiene en nuestra organizacioacuten es mucho maacutes sencillo no simple el tomar medidas que puedan subsanar estas deficienciasiquestPor queacute es
Importante
bull No al usar las armas que el enemigo usa es maacutes factible que podamos determinar el nivel de riesgo y por tanto la respuesta que debemos dar ante un ataque vieacutendolo como analogiacutea meacutedica es como cuando nos vacunan pues nos inoculan una versioacuten del virus del cual nos quieren hacer inmunes
iquestNo es contraproducente
bull Al contratar un servicio o realizarlo de manera interna estamos confiando en la eacutetica profesional de quien evaluacutea por lo que siacute siempre llevamos un riesgo pero se establece un contrato de buena fe hacieacutendolo suficientemente fiable (asegurando)iquestEs fiable
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 51
Ejemplos de Criacutemenes Electroacutenicos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 52
Ataque en 1986 de alemanes trabajando para la KGB contra sistemas estrateacutegicos de EEUU (Clifford Stoll Cuckooacutes egg)
El gusano Morris que se propagoacute por internet en 1988
causando un problema de DoS La causa fue la interrupcioacuten
causada por un programa escrito por Robert Tappan Morris
414 Gang enviacutea ataques contra los registros meacutedicos del
hospital para enfermos de caacutencer Sloan-Kettering
Ataques de Kevin Mitnick 1989-1996
Penetracioacuten de la red de Microsoft en octubre de 2000
por un cracker que ganoacute acceso a programas en desarrollo
Esparcimiento del Love Letter difundido por Onel Guzmaacuten en
Filipinas
53
DDoS contra Yahoo Amazon y Zdnet
Muacuteltiples problemas por virus desde
entonces
Target (Robo de informacioacuten de clientes
Identidad y datos financieros)
Juegos del Hambre
Ataque a Sony (Cyberterrorismo) y la
Respuesta con el apagoacuten de internet a
Korea del Norte
Carnabank (Europa oriental europa
occidental EEUU Panamaacute)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
Ejemplos de Criacutemenes Electroacutenicos
Algunas Clases de Ataques
Negacioacuten de Servicio (DoS)
Robo de contrasentildeas
Robo de identidad
Ingenieriacutea social
Defacement
FraudePirateriacutea de
softwareDumpster
divingCoacutedigo
MaliciosoIP spoofing
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 54
Algunas Clases de Ataques
EspionajeDestruccioacuten o alteracioacuten de informacioacuten
Uso de scripts de ataque
desarrolladosPhishing
Ciber -Terrorismo
War DialingWar
DrivingWalkingWar Chalking
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 55
El Caso Carbanak 1MMMUS$
La banda delictiva ciberneacutetica CARBANAK roba mil millones de doacutelares de 100 instituciones financieras en todo el mundo Kaspersky Lab la INTERPOL EUROPOL y autoridades de diferentes paiacuteses han unido sus fuerzas para dejar al descubierto el complot delictivo de un robo ciberneacutetico sin precedentes Hasta mil millones de doacutelares americanos fueron robados en cerca de dos antildeos de instituciones financieras en todo el mundo Los expertos informan que la responsabilidad del robo recae en una banda multinacional de ciberdelincuentesde Rusia Ucrania y otras partes de Europa asiacute como de China
La banda CARBANAK responsable del robo ciberneacutetico utilizoacute teacutecnicas extraiacutedas del arsenal de los ataques selectivos El complot marca el inicio de una nueva etapa en la evolucioacuten de la actividad de delincuencia ciberneacutetica donde usuarios maliciosos roban dinero directamente de los bancos y evitan concentrar sus ataques en los usuarios finales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 56
Comunicado de prensa 160215 - Karpersky
5705062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
MALWARE
El malware es un tipo de software que tiene como objetivo infiltrarse o dantildear un ordenador sistema de informacioacuten sin el consentimiento de su propietario
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 58
POPUP
bull Un pop-up es un tipo de ventana web que aparece delante de la ventana de un navegador al visitar una paacutegina web
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 59
VOLVER
ADWARE
bull Un programa de clase adware es cualquier programa que automaacuteticamente muestra publicidad web al usuario durante su instalacioacuten o durante su uso para generar lucro a sus autores
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 60
SPAM
bull Se llama spam correo basura a los mensajes no solicitados no deseados o de remitente no conocido habitualmente de tipo publicitario generalmente enviados
en grandes cantidades que perjudican al receptor
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 61
Bomba Loacutegica
Son programas informaacuteticos que se instala en un ordenador y permanece oculto hasta cumplirse una o maacutes condiciones preprogramadas para en ese momento ejecutar una accioacuten
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 62
volver
VIRUS DE MACROS
bull Es una secuencia de oacuterdenes de teclado y ratoacuten asignadas a una sola tecla Los virus de macros afectan a archivos y plantillas que los contienen hacieacutendose pasar por una macro y no actuaraacuten hasta que el archivo se abra o utilice
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 63
VOLVER
VIRUS RESIDENTES
bull Se colocan automaacuteticamente en la memoria RAM del ordenador De este modo pueden controlar e interceptar todas las operaciones llevadas a cabo por el sistema operativo infectando todos aquellos ficheros yo programas que sean ejecutados abiertos cerrados renombrados copiados etc
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 64
VIRUS DE ENLACE
bull Modifican las direcciones que permiten a nivel interno acceder a cada uno de los archivos existentes y como consecuencia no es posible localizarlos y trabajar con ellos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 65
VOLVER
VIRUS MUTANTES
bull Son virus que mutan es decir x Debido a estas mutaciones cada generacioacuten de virus es diferente a la versioacuten anterior dificultando asiacute su deteccioacuten y eliminacioacuten
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 66
VIRUS DE BOOT
bull Se activan en el momento en el que se arranca el ordenador desde un disco infectado ya sea desde el disco duro o desde una memoria USB
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 67
VOLVER
VIRUS DE PROGRAMA
bull Comuacutenmente infectan archivos con extensiones EXE COM OVL DRV BIN DLL y SYS
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 68
VOLVER
VIRUS DE SOBREESCRITURA
bull Sobre-escriben en el interior de los archivos atacados haciendo que se pierda el contenido de los mismos
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 69
Ataques de Seguridad
bull Spyware Es un software de computadoraque al instalarse intercepta o toma controlparcial de la interaccioacuten de lacomputadora y el usuario esto sin que elmismo se de cuenta Estos programaspueden recolectar diferentes tipos deinformacioacuten de los usuarios asiacute comoinstalar software adicional sin elconsentimiento de los mismos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 70
71
Herramientas de Seguridad
bull Gusano Es un programa de computadora quepuede replicarse a si mismo utiliza la red paraenviar copias de si mismo a otros nodos y lopuede hacer sin la intervencioacuten del usuario
A diferencia de los ldquovirusrdquo los gusanos nonecesitan estar amarrados a un programa y sufuncioacuten es principalmente dantildear la red (ejdesempentildeo) mientras que los virus dantildeanarchivos en computadoras
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
72
Ataques de Seguridad
bull Caballo de Troya Es una programa que seinstala bajo la creencia de que se estainstalando alguna otra cosa Los troyanosson programas muy utilizados parainstalar programas tipo ldquobackdoorsrdquo quepermiten el acceso no autorizado a lacomputadora atacada un ejemplo deprogramas tipo backdoor son losKeyloogers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
73
Ataques de Seguridad
bull DoS Denial of service- Ataques quehacen indisponible un servicio a losusuarios
bull DDoS Son conocidos como DNSBackbone Distributed Denial ofServices ndash Ataques tienen comoblanco los servidores raiacutez DNS por lotanto afectan uno de los pilares delInternet los nombres de los dominios
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
74
Ataques de Seguridad
bull Footprinting Teacutecnica utilizada para reunir informacioacuten acerca de sistemas computacionales y las entidades a las que pertenece algunos ejemplos son
- Domain queries
- Network queries
- Organizational queries
- TCP scans
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
75
Ataques de Seguridad
bull Fingerprinting Tambieacuten es conocidocomo TCPIP stack fingerprinting y esutilizado para determinar que sistemaoperativo utiliza alguacuten blanco en la redExiste dos tipos de fingerprinting
- Pasivo- Activo
NMAP es una herramienta que utilizafingerprinting activo para mapearpuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
76
Ataques de Seguridad
bull Escaneo de puertos El escaneo depuertos se basa en el FingerprintingActivo es decir transmite y recibesentildeales como ICMP TELNET SNMPdesde un blanco determinado en lared esto con el fin de obtenerinformacioacuten de dicho blanco en estecaso informacioacuten acerca de suspuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
77
Ataques de Seguridad
bull Sniffing Para llevar a cabo el sniffing esnecesario contar con un ldquopacket snifferrdquoque puede ser software instalado en unacomputadora o un dispositivoindependiente (appliance) estedispositivo es utilizado para interceptar yregistrar traacutefico que pasa a traveacutes de unared o de un segmento de la misma(Puede ser de una red ethernet owireless)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
78
Ataques de Seguridad
bull Spoofing Los ataques tipo spoofing sonaquellos en los que una persona oprograma logra hacerse pasar por otrafalsificando informacioacuten o utilizando laingenieriacutea algunos ataques tipo spoofingson los siguientes
- Falsificacioacuten de direccioacuten de email
- Falsificacioacuten de ID de llamadas telefoacutenicas
- Falsificacioacuten de sitios de internet (phishing)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
79
Ataques de Seguridad
bull Phishing Es el uso de teacutecnicas deingenieriacutea social con la finalidad deadquirir de manera fraudulentainformacioacuten confidencial comonombres de usuarios contrasentildeasinformacioacuten de tarjetas de creacutedito
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
80
Ataques de Seguridad
bull Ingenieriacutea Social Se refiere a unacoleccioacuten de teacutecnicas utilizadas paramanipular a las personas para querealicen alguna accioacuten o divulgueninformacioacuten confidencial
Algunos ingenieros sociales notablesson
- Kevin Mitnik
- Frank Abagnale
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
Ingenieriacutea Social
Es el conjunto de meacutetodos y praacutecticas usados para obtener informacioacuten de usuarios legiacutetimos y con la informacioacuten obtenida lograr acceso a sistemas protegidos siendo esta praacutectica de uso comuacuten entre piratas informaacuteticos y delincuentes computacionales
Coacutemo me afecta Al no validar las referencias o no seguir el protocolo de seguridad adecuado para divulgar contrasentildeas o cualquier otra informacioacuten sensible podemos ser coacutemplices de un crimen Meacutexico ha acordado con organismos internacionales la homologacioacuten yo adecuacioacuten de coacutedigos penales para que estos delitos sean perseguidos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 81
Ingenieriacutea Social
Coacutemo puedo saber si estoy siendo viacutectima de un ingeniero social Muy simple cuando alguien nos pide alguacuten tipo de informacioacuten privilegiada y esta persona es insistente cuando le requerimos seguir un protocolo para validar su intencioacuten es altamente probable que estemos siendo viacutectimas de un intento de robo de informacioacuten por un ingeniero socialhacker
Coacutemo puedo evitarlo Sencillo si no confiamos en la persona que nos solicita los datos (supongamos un teacutecnico de soporte de nuestro lugar de trabajo) podemos pedirle que nos deje sus datos y comunicarnos con el 10 minutos despueacutes de validar que la peticioacuten es legiacutetima es decir soacutelo sigamos los protocolos que existen en el trabajo y crear los propios en casa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 82
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra los Sistemas que Utilizan Tecnologiacuteas de Informacioacuten
bull Artiacuteculo 6 Acceso indebido
bull Artiacuteculo 7 Sabotaje o dantildeo a sistemas
bull Artiacuteculo 8 Favorecimiento culposo del sabotaje o dantildeo
bull Artiacuteculo 9 Acceso indebido o sabotaje a sistemas protegidos
bull Artiacuteculo 10 Posesioacuten de equipos o prestacioacuten de servicios de sabotaje
bull Artiacuteculo 11 Espionaje informaacutetico
bull Artiacuteculo 12 Falsificacioacuten de documentos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 83
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Propiedad
bull Artiacuteculo 13 Hurto
bull Artiacuteculo 14 Fraude
bull Artiacuteculo 15 Obtencioacuten indebida de bienes o servicios
bull Artiacuteculo 16 Manejo fraudulento de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 17 Apropiacioacuten de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 18 Provisioacuten indebida de bienes o servicios
bull Artiacuteculo 19 Posesioacuten de equipo para falsificaciones
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 84
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Privacidad de las Personas y de las Comunicaciones
bullArtiacuteculo 20 Violacioacuten de la privacidad de la data o informacioacuten de caraacutecter personal
bullArtiacuteculo 21 Violacioacuten de la privacidad de las comunicaciones
bullArtiacuteculo 22 Revelacioacuten indebida de data o informacioacuten de caraacutecter personal
De los Delitos Contra Nintildeos Nintildeas o Adolescentes
bullArtiacuteculo 23 Difusioacuten o exhibicioacuten de material pornograacutefico
bullArtiacuteculo 24 Exhibicioacuten pornograacutefica de nintildeos o adolescentes
De los Delitos Contra el Orden Econoacutemico
bullArtiacuteculo 25 Apropiacioacuten de propiedad intelectual
bullArtiacuteculo 26 Oferta engantildeosa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 85
Plan de Contingencia Continuidad Operacional
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 86
Plan de Contingencia
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 87
ldquoConjunto de Normas y Procedimientos documentadosy comunicados que tienen por objetivo minimizar los riesgos informaacuteticos mas probablesrdquo
InvolucrabullUso de herramientas
bullCumplimiento de Tareas por
parte de personas
Plan de Contingencia
Consta de tres subplanes independientes
bull Plan de Respaldo crear y conservar en un lugar seguro copias de seguridad de la informacioacuten
bull Pla de Emergencia queacute medidas tomar cuando se estaacute materializando una amenaza o cuando acaba de producirse
bull Plan de Recuperacioacuten medidas que se aplicaran cuando se ha producido un desastre El objetivo es evaluar el impacto y regresar lo antes posible
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 88
Plan de Contingencia
En la elaboracioacuten de este plan no se puede dejar por fuera a los miembros de la organizacioacuten el cual debe estar informado y entrenado para actuar en las funciones que le hayan sido encomendadas en caso de producirse una amenaza o impacto
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 89
Continuidad Operacional
Business Continuity Planning (Plan de Continuidad de negocios)
bull Plan Baacutesico
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Coldsite)
bull Plan Intermedio
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan Alto
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan de respuesta y continuidad de negocios alternativo (sin asistencia de sistemas)
bull Stress Testing al Plan
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 90
El Stress Testing
bull Poner a prueba el planbull Revise y evalueacute
bull Respaldosbull Oportunidad integridad y funcionalidadbull Custodia y transporte
bull Cold y Hotsitebull Funcionalidad accesibilidad y compatibilidadbull Actualizacioacuten oportuna (hotsite)
bull Personalbull Roles y funcionesbull Accesibilidad (contactos y comunicaciones)
bull Simulacioacuten de cataacutestrofesbull Sin previo aviso el director encargado del BCP se presenta en el centro de computo
cronometro en mano y baja la cuchilla de electricidad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 91
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de Lehman Brothers
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el WorldTrade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehman se desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del World Trade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehman teniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 92
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de LehmanBrothers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 93
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el World Trade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehmanse desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 94
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del WorldTrade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehmanteniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 95
La Contingencia Manual la Uacuteltima Frontera
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 96
05062015 97
DATOS BAacuteSICOS
Responsable A Nivel Corporativo Responsable(s) A Nivel Regional
PROVEEDOR (ES)
Origen Responsable Insumo (s)
RESULTADOS
Normas y Procedimientos Asociados Fecha uacuteltima revisioacuten Sistemas Aplicaciones Asociadas
Proceso
CALIFICACIOacuteN DE CONTROLES DE ENTRADA
Actividad
RECOMENDACIONES
Procesamiento
Automaacutetico (A)Manual (M)
Frecuencia
Adiestramiento Proceso Sistema N y P Otros
Negocio Area Localidad
Responsable
Nombre CargoNombre Cargo
NOMBRE
ELABORADO POR
CARGO FIRMA
Calidad de Data (B) Buena (R) Regular (M) Mala Oportunidad (AT) A Tiempo (R) Retrasada Revisioacuten Aprobacioacuten (S) Si (N) NoLEYENDA
Calificacioacuten (F) Fuerte (M) Medio (B) Bajo
DescripcioacutenResponsableDescripcioacuten
Tarea
Descripcioacuten
FRECUENCIA DE LA TAREA Diaria (D) Semanal (S) Mensual (M) Trimestral (T) Anual (A) Ocasional (O)
Soportes Recepcioacuten (P) Papel (E) Electroacutenico Archivo (S) Si (N) No Soportes Enviacuteo (S) Si (N) No Backup (S) Si (N) No
Producto (s) Cliente ReceptorControl
de salida
SoportesFrecuencia
Recepcioacuten Backup
DOCUMENTOS SISTEMAS ASOCIADOS A LOS CONTROLES
CALIFICACIOacuteN DE CONTROLES (por parte del Cliente Receptor)
Revisioacuten
Aprobacioacuten
Revisioacuten
AprobacioacutenTipo de control
Procesamiento
Automaacutetico (A)Manual (M)
Control
De EntradaTipo de control
Soportes
Recepcioacuten Archivo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 98
DATOS BAacuteSICOS
TareaActividad
Proceso Responsable del Proceso
Fecha de Elaboracioacuten 2015
Accioacuten (es) Responsable (s)
OBSERVACIONES ELABORADO POR
FIRMA
NOMBRE
Plan de recuperacioacuten y Reactivacioacuten de Finanzas
Recomendaciones Acciones
La Cadena de Valor de una Organizacioacuten de Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 99
ASESORAR EN CONTROLES DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR DELEGACIONES FINANCIERAS
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
CONTROLAR SEGURIDAD SISTEMA
OPERACIONALES ADMINISTRATIVOS Y OTROS
SISTEMAS FINANCIEROS
DESARROLLAR CONTROLES
DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR Y DESARROLLAR PLAN INTEGRAL DE CONTROL ( PIC )
Asesorar en controles de procesos normas y
Procedimientos
Administrar delegaciones financieras
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
Controlar seguridad sistema
operacionales administrativos y otros
sistemas financieros
Desarrollar
controles de
procesos
normas y
procedimientos
Administrar y desarrollar plan integral de control ( PIC )
Actuacioacuten del Criminal
bull Se requieren talentos especiales
bull El fraude ha crecido gracias a la aparicioacuten de las computadoras
Mitos
bull Dinero
bull Satisfaccioacuten (egocentrismo)
bull Ideologiacutea
bull Psicosis
Motivaciones personales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 49
bull Ambiente de trabajo
bull Prestaciones
bull Nivel de confianza interpersonal
bull Eacutetica ambiental
bull Nivel de stress
bull AMBIENTE DE CONTROL INTERNO
Motivaciones ambientales
Ethical Hacking
Es una intrusioacuten eacutetica es la aplicacioacuten de herramientas de intrusioacuten penetracioacuten robo personificacioacuten y negacioacuten de servicio llevado a cabo por hackers eacuteticos es decir personas con la experiencia y conocimiento suficiente para llevar a cabo estas pruebas en nombre de la organizacioacuten es decir de manera legal y prevista para determinar el nivel de seguridad de una red de equipos o servicios (incluido el aspecto de ingenieriacutea social)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 50
Ethical Hacking
bull al conocer el nivel de seguridad que se tiene en nuestra organizacioacuten es mucho maacutes sencillo no simple el tomar medidas que puedan subsanar estas deficienciasiquestPor queacute es
Importante
bull No al usar las armas que el enemigo usa es maacutes factible que podamos determinar el nivel de riesgo y por tanto la respuesta que debemos dar ante un ataque vieacutendolo como analogiacutea meacutedica es como cuando nos vacunan pues nos inoculan una versioacuten del virus del cual nos quieren hacer inmunes
iquestNo es contraproducente
bull Al contratar un servicio o realizarlo de manera interna estamos confiando en la eacutetica profesional de quien evaluacutea por lo que siacute siempre llevamos un riesgo pero se establece un contrato de buena fe hacieacutendolo suficientemente fiable (asegurando)iquestEs fiable
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 51
Ejemplos de Criacutemenes Electroacutenicos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 52
Ataque en 1986 de alemanes trabajando para la KGB contra sistemas estrateacutegicos de EEUU (Clifford Stoll Cuckooacutes egg)
El gusano Morris que se propagoacute por internet en 1988
causando un problema de DoS La causa fue la interrupcioacuten
causada por un programa escrito por Robert Tappan Morris
414 Gang enviacutea ataques contra los registros meacutedicos del
hospital para enfermos de caacutencer Sloan-Kettering
Ataques de Kevin Mitnick 1989-1996
Penetracioacuten de la red de Microsoft en octubre de 2000
por un cracker que ganoacute acceso a programas en desarrollo
Esparcimiento del Love Letter difundido por Onel Guzmaacuten en
Filipinas
53
DDoS contra Yahoo Amazon y Zdnet
Muacuteltiples problemas por virus desde
entonces
Target (Robo de informacioacuten de clientes
Identidad y datos financieros)
Juegos del Hambre
Ataque a Sony (Cyberterrorismo) y la
Respuesta con el apagoacuten de internet a
Korea del Norte
Carnabank (Europa oriental europa
occidental EEUU Panamaacute)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
Ejemplos de Criacutemenes Electroacutenicos
Algunas Clases de Ataques
Negacioacuten de Servicio (DoS)
Robo de contrasentildeas
Robo de identidad
Ingenieriacutea social
Defacement
FraudePirateriacutea de
softwareDumpster
divingCoacutedigo
MaliciosoIP spoofing
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 54
Algunas Clases de Ataques
EspionajeDestruccioacuten o alteracioacuten de informacioacuten
Uso de scripts de ataque
desarrolladosPhishing
Ciber -Terrorismo
War DialingWar
DrivingWalkingWar Chalking
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 55
El Caso Carbanak 1MMMUS$
La banda delictiva ciberneacutetica CARBANAK roba mil millones de doacutelares de 100 instituciones financieras en todo el mundo Kaspersky Lab la INTERPOL EUROPOL y autoridades de diferentes paiacuteses han unido sus fuerzas para dejar al descubierto el complot delictivo de un robo ciberneacutetico sin precedentes Hasta mil millones de doacutelares americanos fueron robados en cerca de dos antildeos de instituciones financieras en todo el mundo Los expertos informan que la responsabilidad del robo recae en una banda multinacional de ciberdelincuentesde Rusia Ucrania y otras partes de Europa asiacute como de China
La banda CARBANAK responsable del robo ciberneacutetico utilizoacute teacutecnicas extraiacutedas del arsenal de los ataques selectivos El complot marca el inicio de una nueva etapa en la evolucioacuten de la actividad de delincuencia ciberneacutetica donde usuarios maliciosos roban dinero directamente de los bancos y evitan concentrar sus ataques en los usuarios finales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 56
Comunicado de prensa 160215 - Karpersky
5705062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
MALWARE
El malware es un tipo de software que tiene como objetivo infiltrarse o dantildear un ordenador sistema de informacioacuten sin el consentimiento de su propietario
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 58
POPUP
bull Un pop-up es un tipo de ventana web que aparece delante de la ventana de un navegador al visitar una paacutegina web
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 59
VOLVER
ADWARE
bull Un programa de clase adware es cualquier programa que automaacuteticamente muestra publicidad web al usuario durante su instalacioacuten o durante su uso para generar lucro a sus autores
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 60
SPAM
bull Se llama spam correo basura a los mensajes no solicitados no deseados o de remitente no conocido habitualmente de tipo publicitario generalmente enviados
en grandes cantidades que perjudican al receptor
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 61
Bomba Loacutegica
Son programas informaacuteticos que se instala en un ordenador y permanece oculto hasta cumplirse una o maacutes condiciones preprogramadas para en ese momento ejecutar una accioacuten
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 62
volver
VIRUS DE MACROS
bull Es una secuencia de oacuterdenes de teclado y ratoacuten asignadas a una sola tecla Los virus de macros afectan a archivos y plantillas que los contienen hacieacutendose pasar por una macro y no actuaraacuten hasta que el archivo se abra o utilice
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 63
VOLVER
VIRUS RESIDENTES
bull Se colocan automaacuteticamente en la memoria RAM del ordenador De este modo pueden controlar e interceptar todas las operaciones llevadas a cabo por el sistema operativo infectando todos aquellos ficheros yo programas que sean ejecutados abiertos cerrados renombrados copiados etc
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 64
VIRUS DE ENLACE
bull Modifican las direcciones que permiten a nivel interno acceder a cada uno de los archivos existentes y como consecuencia no es posible localizarlos y trabajar con ellos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 65
VOLVER
VIRUS MUTANTES
bull Son virus que mutan es decir x Debido a estas mutaciones cada generacioacuten de virus es diferente a la versioacuten anterior dificultando asiacute su deteccioacuten y eliminacioacuten
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 66
VIRUS DE BOOT
bull Se activan en el momento en el que se arranca el ordenador desde un disco infectado ya sea desde el disco duro o desde una memoria USB
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 67
VOLVER
VIRUS DE PROGRAMA
bull Comuacutenmente infectan archivos con extensiones EXE COM OVL DRV BIN DLL y SYS
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 68
VOLVER
VIRUS DE SOBREESCRITURA
bull Sobre-escriben en el interior de los archivos atacados haciendo que se pierda el contenido de los mismos
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 69
Ataques de Seguridad
bull Spyware Es un software de computadoraque al instalarse intercepta o toma controlparcial de la interaccioacuten de lacomputadora y el usuario esto sin que elmismo se de cuenta Estos programaspueden recolectar diferentes tipos deinformacioacuten de los usuarios asiacute comoinstalar software adicional sin elconsentimiento de los mismos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 70
71
Herramientas de Seguridad
bull Gusano Es un programa de computadora quepuede replicarse a si mismo utiliza la red paraenviar copias de si mismo a otros nodos y lopuede hacer sin la intervencioacuten del usuario
A diferencia de los ldquovirusrdquo los gusanos nonecesitan estar amarrados a un programa y sufuncioacuten es principalmente dantildear la red (ejdesempentildeo) mientras que los virus dantildeanarchivos en computadoras
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
72
Ataques de Seguridad
bull Caballo de Troya Es una programa que seinstala bajo la creencia de que se estainstalando alguna otra cosa Los troyanosson programas muy utilizados parainstalar programas tipo ldquobackdoorsrdquo quepermiten el acceso no autorizado a lacomputadora atacada un ejemplo deprogramas tipo backdoor son losKeyloogers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
73
Ataques de Seguridad
bull DoS Denial of service- Ataques quehacen indisponible un servicio a losusuarios
bull DDoS Son conocidos como DNSBackbone Distributed Denial ofServices ndash Ataques tienen comoblanco los servidores raiacutez DNS por lotanto afectan uno de los pilares delInternet los nombres de los dominios
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
74
Ataques de Seguridad
bull Footprinting Teacutecnica utilizada para reunir informacioacuten acerca de sistemas computacionales y las entidades a las que pertenece algunos ejemplos son
- Domain queries
- Network queries
- Organizational queries
- TCP scans
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
75
Ataques de Seguridad
bull Fingerprinting Tambieacuten es conocidocomo TCPIP stack fingerprinting y esutilizado para determinar que sistemaoperativo utiliza alguacuten blanco en la redExiste dos tipos de fingerprinting
- Pasivo- Activo
NMAP es una herramienta que utilizafingerprinting activo para mapearpuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
76
Ataques de Seguridad
bull Escaneo de puertos El escaneo depuertos se basa en el FingerprintingActivo es decir transmite y recibesentildeales como ICMP TELNET SNMPdesde un blanco determinado en lared esto con el fin de obtenerinformacioacuten de dicho blanco en estecaso informacioacuten acerca de suspuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
77
Ataques de Seguridad
bull Sniffing Para llevar a cabo el sniffing esnecesario contar con un ldquopacket snifferrdquoque puede ser software instalado en unacomputadora o un dispositivoindependiente (appliance) estedispositivo es utilizado para interceptar yregistrar traacutefico que pasa a traveacutes de unared o de un segmento de la misma(Puede ser de una red ethernet owireless)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
78
Ataques de Seguridad
bull Spoofing Los ataques tipo spoofing sonaquellos en los que una persona oprograma logra hacerse pasar por otrafalsificando informacioacuten o utilizando laingenieriacutea algunos ataques tipo spoofingson los siguientes
- Falsificacioacuten de direccioacuten de email
- Falsificacioacuten de ID de llamadas telefoacutenicas
- Falsificacioacuten de sitios de internet (phishing)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
79
Ataques de Seguridad
bull Phishing Es el uso de teacutecnicas deingenieriacutea social con la finalidad deadquirir de manera fraudulentainformacioacuten confidencial comonombres de usuarios contrasentildeasinformacioacuten de tarjetas de creacutedito
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
80
Ataques de Seguridad
bull Ingenieriacutea Social Se refiere a unacoleccioacuten de teacutecnicas utilizadas paramanipular a las personas para querealicen alguna accioacuten o divulgueninformacioacuten confidencial
Algunos ingenieros sociales notablesson
- Kevin Mitnik
- Frank Abagnale
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
Ingenieriacutea Social
Es el conjunto de meacutetodos y praacutecticas usados para obtener informacioacuten de usuarios legiacutetimos y con la informacioacuten obtenida lograr acceso a sistemas protegidos siendo esta praacutectica de uso comuacuten entre piratas informaacuteticos y delincuentes computacionales
Coacutemo me afecta Al no validar las referencias o no seguir el protocolo de seguridad adecuado para divulgar contrasentildeas o cualquier otra informacioacuten sensible podemos ser coacutemplices de un crimen Meacutexico ha acordado con organismos internacionales la homologacioacuten yo adecuacioacuten de coacutedigos penales para que estos delitos sean perseguidos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 81
Ingenieriacutea Social
Coacutemo puedo saber si estoy siendo viacutectima de un ingeniero social Muy simple cuando alguien nos pide alguacuten tipo de informacioacuten privilegiada y esta persona es insistente cuando le requerimos seguir un protocolo para validar su intencioacuten es altamente probable que estemos siendo viacutectimas de un intento de robo de informacioacuten por un ingeniero socialhacker
Coacutemo puedo evitarlo Sencillo si no confiamos en la persona que nos solicita los datos (supongamos un teacutecnico de soporte de nuestro lugar de trabajo) podemos pedirle que nos deje sus datos y comunicarnos con el 10 minutos despueacutes de validar que la peticioacuten es legiacutetima es decir soacutelo sigamos los protocolos que existen en el trabajo y crear los propios en casa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 82
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra los Sistemas que Utilizan Tecnologiacuteas de Informacioacuten
bull Artiacuteculo 6 Acceso indebido
bull Artiacuteculo 7 Sabotaje o dantildeo a sistemas
bull Artiacuteculo 8 Favorecimiento culposo del sabotaje o dantildeo
bull Artiacuteculo 9 Acceso indebido o sabotaje a sistemas protegidos
bull Artiacuteculo 10 Posesioacuten de equipos o prestacioacuten de servicios de sabotaje
bull Artiacuteculo 11 Espionaje informaacutetico
bull Artiacuteculo 12 Falsificacioacuten de documentos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 83
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Propiedad
bull Artiacuteculo 13 Hurto
bull Artiacuteculo 14 Fraude
bull Artiacuteculo 15 Obtencioacuten indebida de bienes o servicios
bull Artiacuteculo 16 Manejo fraudulento de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 17 Apropiacioacuten de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 18 Provisioacuten indebida de bienes o servicios
bull Artiacuteculo 19 Posesioacuten de equipo para falsificaciones
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 84
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Privacidad de las Personas y de las Comunicaciones
bullArtiacuteculo 20 Violacioacuten de la privacidad de la data o informacioacuten de caraacutecter personal
bullArtiacuteculo 21 Violacioacuten de la privacidad de las comunicaciones
bullArtiacuteculo 22 Revelacioacuten indebida de data o informacioacuten de caraacutecter personal
De los Delitos Contra Nintildeos Nintildeas o Adolescentes
bullArtiacuteculo 23 Difusioacuten o exhibicioacuten de material pornograacutefico
bullArtiacuteculo 24 Exhibicioacuten pornograacutefica de nintildeos o adolescentes
De los Delitos Contra el Orden Econoacutemico
bullArtiacuteculo 25 Apropiacioacuten de propiedad intelectual
bullArtiacuteculo 26 Oferta engantildeosa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 85
Plan de Contingencia Continuidad Operacional
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 86
Plan de Contingencia
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 87
ldquoConjunto de Normas y Procedimientos documentadosy comunicados que tienen por objetivo minimizar los riesgos informaacuteticos mas probablesrdquo
InvolucrabullUso de herramientas
bullCumplimiento de Tareas por
parte de personas
Plan de Contingencia
Consta de tres subplanes independientes
bull Plan de Respaldo crear y conservar en un lugar seguro copias de seguridad de la informacioacuten
bull Pla de Emergencia queacute medidas tomar cuando se estaacute materializando una amenaza o cuando acaba de producirse
bull Plan de Recuperacioacuten medidas que se aplicaran cuando se ha producido un desastre El objetivo es evaluar el impacto y regresar lo antes posible
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 88
Plan de Contingencia
En la elaboracioacuten de este plan no se puede dejar por fuera a los miembros de la organizacioacuten el cual debe estar informado y entrenado para actuar en las funciones que le hayan sido encomendadas en caso de producirse una amenaza o impacto
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 89
Continuidad Operacional
Business Continuity Planning (Plan de Continuidad de negocios)
bull Plan Baacutesico
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Coldsite)
bull Plan Intermedio
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan Alto
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan de respuesta y continuidad de negocios alternativo (sin asistencia de sistemas)
bull Stress Testing al Plan
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 90
El Stress Testing
bull Poner a prueba el planbull Revise y evalueacute
bull Respaldosbull Oportunidad integridad y funcionalidadbull Custodia y transporte
bull Cold y Hotsitebull Funcionalidad accesibilidad y compatibilidadbull Actualizacioacuten oportuna (hotsite)
bull Personalbull Roles y funcionesbull Accesibilidad (contactos y comunicaciones)
bull Simulacioacuten de cataacutestrofesbull Sin previo aviso el director encargado del BCP se presenta en el centro de computo
cronometro en mano y baja la cuchilla de electricidad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 91
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de Lehman Brothers
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el WorldTrade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehman se desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del World Trade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehman teniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 92
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de LehmanBrothers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 93
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el World Trade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehmanse desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 94
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del WorldTrade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehmanteniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 95
La Contingencia Manual la Uacuteltima Frontera
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 96
05062015 97
DATOS BAacuteSICOS
Responsable A Nivel Corporativo Responsable(s) A Nivel Regional
PROVEEDOR (ES)
Origen Responsable Insumo (s)
RESULTADOS
Normas y Procedimientos Asociados Fecha uacuteltima revisioacuten Sistemas Aplicaciones Asociadas
Proceso
CALIFICACIOacuteN DE CONTROLES DE ENTRADA
Actividad
RECOMENDACIONES
Procesamiento
Automaacutetico (A)Manual (M)
Frecuencia
Adiestramiento Proceso Sistema N y P Otros
Negocio Area Localidad
Responsable
Nombre CargoNombre Cargo
NOMBRE
ELABORADO POR
CARGO FIRMA
Calidad de Data (B) Buena (R) Regular (M) Mala Oportunidad (AT) A Tiempo (R) Retrasada Revisioacuten Aprobacioacuten (S) Si (N) NoLEYENDA
Calificacioacuten (F) Fuerte (M) Medio (B) Bajo
DescripcioacutenResponsableDescripcioacuten
Tarea
Descripcioacuten
FRECUENCIA DE LA TAREA Diaria (D) Semanal (S) Mensual (M) Trimestral (T) Anual (A) Ocasional (O)
Soportes Recepcioacuten (P) Papel (E) Electroacutenico Archivo (S) Si (N) No Soportes Enviacuteo (S) Si (N) No Backup (S) Si (N) No
Producto (s) Cliente ReceptorControl
de salida
SoportesFrecuencia
Recepcioacuten Backup
DOCUMENTOS SISTEMAS ASOCIADOS A LOS CONTROLES
CALIFICACIOacuteN DE CONTROLES (por parte del Cliente Receptor)
Revisioacuten
Aprobacioacuten
Revisioacuten
AprobacioacutenTipo de control
Procesamiento
Automaacutetico (A)Manual (M)
Control
De EntradaTipo de control
Soportes
Recepcioacuten Archivo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 98
DATOS BAacuteSICOS
TareaActividad
Proceso Responsable del Proceso
Fecha de Elaboracioacuten 2015
Accioacuten (es) Responsable (s)
OBSERVACIONES ELABORADO POR
FIRMA
NOMBRE
Plan de recuperacioacuten y Reactivacioacuten de Finanzas
Recomendaciones Acciones
La Cadena de Valor de una Organizacioacuten de Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 99
ASESORAR EN CONTROLES DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR DELEGACIONES FINANCIERAS
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
CONTROLAR SEGURIDAD SISTEMA
OPERACIONALES ADMINISTRATIVOS Y OTROS
SISTEMAS FINANCIEROS
DESARROLLAR CONTROLES
DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR Y DESARROLLAR PLAN INTEGRAL DE CONTROL ( PIC )
Asesorar en controles de procesos normas y
Procedimientos
Administrar delegaciones financieras
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
Controlar seguridad sistema
operacionales administrativos y otros
sistemas financieros
Desarrollar
controles de
procesos
normas y
procedimientos
Administrar y desarrollar plan integral de control ( PIC )
Ethical Hacking
Es una intrusioacuten eacutetica es la aplicacioacuten de herramientas de intrusioacuten penetracioacuten robo personificacioacuten y negacioacuten de servicio llevado a cabo por hackers eacuteticos es decir personas con la experiencia y conocimiento suficiente para llevar a cabo estas pruebas en nombre de la organizacioacuten es decir de manera legal y prevista para determinar el nivel de seguridad de una red de equipos o servicios (incluido el aspecto de ingenieriacutea social)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 50
Ethical Hacking
bull al conocer el nivel de seguridad que se tiene en nuestra organizacioacuten es mucho maacutes sencillo no simple el tomar medidas que puedan subsanar estas deficienciasiquestPor queacute es
Importante
bull No al usar las armas que el enemigo usa es maacutes factible que podamos determinar el nivel de riesgo y por tanto la respuesta que debemos dar ante un ataque vieacutendolo como analogiacutea meacutedica es como cuando nos vacunan pues nos inoculan una versioacuten del virus del cual nos quieren hacer inmunes
iquestNo es contraproducente
bull Al contratar un servicio o realizarlo de manera interna estamos confiando en la eacutetica profesional de quien evaluacutea por lo que siacute siempre llevamos un riesgo pero se establece un contrato de buena fe hacieacutendolo suficientemente fiable (asegurando)iquestEs fiable
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 51
Ejemplos de Criacutemenes Electroacutenicos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 52
Ataque en 1986 de alemanes trabajando para la KGB contra sistemas estrateacutegicos de EEUU (Clifford Stoll Cuckooacutes egg)
El gusano Morris que se propagoacute por internet en 1988
causando un problema de DoS La causa fue la interrupcioacuten
causada por un programa escrito por Robert Tappan Morris
414 Gang enviacutea ataques contra los registros meacutedicos del
hospital para enfermos de caacutencer Sloan-Kettering
Ataques de Kevin Mitnick 1989-1996
Penetracioacuten de la red de Microsoft en octubre de 2000
por un cracker que ganoacute acceso a programas en desarrollo
Esparcimiento del Love Letter difundido por Onel Guzmaacuten en
Filipinas
53
DDoS contra Yahoo Amazon y Zdnet
Muacuteltiples problemas por virus desde
entonces
Target (Robo de informacioacuten de clientes
Identidad y datos financieros)
Juegos del Hambre
Ataque a Sony (Cyberterrorismo) y la
Respuesta con el apagoacuten de internet a
Korea del Norte
Carnabank (Europa oriental europa
occidental EEUU Panamaacute)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
Ejemplos de Criacutemenes Electroacutenicos
Algunas Clases de Ataques
Negacioacuten de Servicio (DoS)
Robo de contrasentildeas
Robo de identidad
Ingenieriacutea social
Defacement
FraudePirateriacutea de
softwareDumpster
divingCoacutedigo
MaliciosoIP spoofing
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 54
Algunas Clases de Ataques
EspionajeDestruccioacuten o alteracioacuten de informacioacuten
Uso de scripts de ataque
desarrolladosPhishing
Ciber -Terrorismo
War DialingWar
DrivingWalkingWar Chalking
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 55
El Caso Carbanak 1MMMUS$
La banda delictiva ciberneacutetica CARBANAK roba mil millones de doacutelares de 100 instituciones financieras en todo el mundo Kaspersky Lab la INTERPOL EUROPOL y autoridades de diferentes paiacuteses han unido sus fuerzas para dejar al descubierto el complot delictivo de un robo ciberneacutetico sin precedentes Hasta mil millones de doacutelares americanos fueron robados en cerca de dos antildeos de instituciones financieras en todo el mundo Los expertos informan que la responsabilidad del robo recae en una banda multinacional de ciberdelincuentesde Rusia Ucrania y otras partes de Europa asiacute como de China
La banda CARBANAK responsable del robo ciberneacutetico utilizoacute teacutecnicas extraiacutedas del arsenal de los ataques selectivos El complot marca el inicio de una nueva etapa en la evolucioacuten de la actividad de delincuencia ciberneacutetica donde usuarios maliciosos roban dinero directamente de los bancos y evitan concentrar sus ataques en los usuarios finales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 56
Comunicado de prensa 160215 - Karpersky
5705062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
MALWARE
El malware es un tipo de software que tiene como objetivo infiltrarse o dantildear un ordenador sistema de informacioacuten sin el consentimiento de su propietario
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 58
POPUP
bull Un pop-up es un tipo de ventana web que aparece delante de la ventana de un navegador al visitar una paacutegina web
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 59
VOLVER
ADWARE
bull Un programa de clase adware es cualquier programa que automaacuteticamente muestra publicidad web al usuario durante su instalacioacuten o durante su uso para generar lucro a sus autores
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 60
SPAM
bull Se llama spam correo basura a los mensajes no solicitados no deseados o de remitente no conocido habitualmente de tipo publicitario generalmente enviados
en grandes cantidades que perjudican al receptor
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 61
Bomba Loacutegica
Son programas informaacuteticos que se instala en un ordenador y permanece oculto hasta cumplirse una o maacutes condiciones preprogramadas para en ese momento ejecutar una accioacuten
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 62
volver
VIRUS DE MACROS
bull Es una secuencia de oacuterdenes de teclado y ratoacuten asignadas a una sola tecla Los virus de macros afectan a archivos y plantillas que los contienen hacieacutendose pasar por una macro y no actuaraacuten hasta que el archivo se abra o utilice
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 63
VOLVER
VIRUS RESIDENTES
bull Se colocan automaacuteticamente en la memoria RAM del ordenador De este modo pueden controlar e interceptar todas las operaciones llevadas a cabo por el sistema operativo infectando todos aquellos ficheros yo programas que sean ejecutados abiertos cerrados renombrados copiados etc
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 64
VIRUS DE ENLACE
bull Modifican las direcciones que permiten a nivel interno acceder a cada uno de los archivos existentes y como consecuencia no es posible localizarlos y trabajar con ellos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 65
VOLVER
VIRUS MUTANTES
bull Son virus que mutan es decir x Debido a estas mutaciones cada generacioacuten de virus es diferente a la versioacuten anterior dificultando asiacute su deteccioacuten y eliminacioacuten
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 66
VIRUS DE BOOT
bull Se activan en el momento en el que se arranca el ordenador desde un disco infectado ya sea desde el disco duro o desde una memoria USB
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 67
VOLVER
VIRUS DE PROGRAMA
bull Comuacutenmente infectan archivos con extensiones EXE COM OVL DRV BIN DLL y SYS
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 68
VOLVER
VIRUS DE SOBREESCRITURA
bull Sobre-escriben en el interior de los archivos atacados haciendo que se pierda el contenido de los mismos
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 69
Ataques de Seguridad
bull Spyware Es un software de computadoraque al instalarse intercepta o toma controlparcial de la interaccioacuten de lacomputadora y el usuario esto sin que elmismo se de cuenta Estos programaspueden recolectar diferentes tipos deinformacioacuten de los usuarios asiacute comoinstalar software adicional sin elconsentimiento de los mismos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 70
71
Herramientas de Seguridad
bull Gusano Es un programa de computadora quepuede replicarse a si mismo utiliza la red paraenviar copias de si mismo a otros nodos y lopuede hacer sin la intervencioacuten del usuario
A diferencia de los ldquovirusrdquo los gusanos nonecesitan estar amarrados a un programa y sufuncioacuten es principalmente dantildear la red (ejdesempentildeo) mientras que los virus dantildeanarchivos en computadoras
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
72
Ataques de Seguridad
bull Caballo de Troya Es una programa que seinstala bajo la creencia de que se estainstalando alguna otra cosa Los troyanosson programas muy utilizados parainstalar programas tipo ldquobackdoorsrdquo quepermiten el acceso no autorizado a lacomputadora atacada un ejemplo deprogramas tipo backdoor son losKeyloogers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
73
Ataques de Seguridad
bull DoS Denial of service- Ataques quehacen indisponible un servicio a losusuarios
bull DDoS Son conocidos como DNSBackbone Distributed Denial ofServices ndash Ataques tienen comoblanco los servidores raiacutez DNS por lotanto afectan uno de los pilares delInternet los nombres de los dominios
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
74
Ataques de Seguridad
bull Footprinting Teacutecnica utilizada para reunir informacioacuten acerca de sistemas computacionales y las entidades a las que pertenece algunos ejemplos son
- Domain queries
- Network queries
- Organizational queries
- TCP scans
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
75
Ataques de Seguridad
bull Fingerprinting Tambieacuten es conocidocomo TCPIP stack fingerprinting y esutilizado para determinar que sistemaoperativo utiliza alguacuten blanco en la redExiste dos tipos de fingerprinting
- Pasivo- Activo
NMAP es una herramienta que utilizafingerprinting activo para mapearpuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
76
Ataques de Seguridad
bull Escaneo de puertos El escaneo depuertos se basa en el FingerprintingActivo es decir transmite y recibesentildeales como ICMP TELNET SNMPdesde un blanco determinado en lared esto con el fin de obtenerinformacioacuten de dicho blanco en estecaso informacioacuten acerca de suspuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
77
Ataques de Seguridad
bull Sniffing Para llevar a cabo el sniffing esnecesario contar con un ldquopacket snifferrdquoque puede ser software instalado en unacomputadora o un dispositivoindependiente (appliance) estedispositivo es utilizado para interceptar yregistrar traacutefico que pasa a traveacutes de unared o de un segmento de la misma(Puede ser de una red ethernet owireless)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
78
Ataques de Seguridad
bull Spoofing Los ataques tipo spoofing sonaquellos en los que una persona oprograma logra hacerse pasar por otrafalsificando informacioacuten o utilizando laingenieriacutea algunos ataques tipo spoofingson los siguientes
- Falsificacioacuten de direccioacuten de email
- Falsificacioacuten de ID de llamadas telefoacutenicas
- Falsificacioacuten de sitios de internet (phishing)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
79
Ataques de Seguridad
bull Phishing Es el uso de teacutecnicas deingenieriacutea social con la finalidad deadquirir de manera fraudulentainformacioacuten confidencial comonombres de usuarios contrasentildeasinformacioacuten de tarjetas de creacutedito
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
80
Ataques de Seguridad
bull Ingenieriacutea Social Se refiere a unacoleccioacuten de teacutecnicas utilizadas paramanipular a las personas para querealicen alguna accioacuten o divulgueninformacioacuten confidencial
Algunos ingenieros sociales notablesson
- Kevin Mitnik
- Frank Abagnale
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
Ingenieriacutea Social
Es el conjunto de meacutetodos y praacutecticas usados para obtener informacioacuten de usuarios legiacutetimos y con la informacioacuten obtenida lograr acceso a sistemas protegidos siendo esta praacutectica de uso comuacuten entre piratas informaacuteticos y delincuentes computacionales
Coacutemo me afecta Al no validar las referencias o no seguir el protocolo de seguridad adecuado para divulgar contrasentildeas o cualquier otra informacioacuten sensible podemos ser coacutemplices de un crimen Meacutexico ha acordado con organismos internacionales la homologacioacuten yo adecuacioacuten de coacutedigos penales para que estos delitos sean perseguidos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 81
Ingenieriacutea Social
Coacutemo puedo saber si estoy siendo viacutectima de un ingeniero social Muy simple cuando alguien nos pide alguacuten tipo de informacioacuten privilegiada y esta persona es insistente cuando le requerimos seguir un protocolo para validar su intencioacuten es altamente probable que estemos siendo viacutectimas de un intento de robo de informacioacuten por un ingeniero socialhacker
Coacutemo puedo evitarlo Sencillo si no confiamos en la persona que nos solicita los datos (supongamos un teacutecnico de soporte de nuestro lugar de trabajo) podemos pedirle que nos deje sus datos y comunicarnos con el 10 minutos despueacutes de validar que la peticioacuten es legiacutetima es decir soacutelo sigamos los protocolos que existen en el trabajo y crear los propios en casa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 82
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra los Sistemas que Utilizan Tecnologiacuteas de Informacioacuten
bull Artiacuteculo 6 Acceso indebido
bull Artiacuteculo 7 Sabotaje o dantildeo a sistemas
bull Artiacuteculo 8 Favorecimiento culposo del sabotaje o dantildeo
bull Artiacuteculo 9 Acceso indebido o sabotaje a sistemas protegidos
bull Artiacuteculo 10 Posesioacuten de equipos o prestacioacuten de servicios de sabotaje
bull Artiacuteculo 11 Espionaje informaacutetico
bull Artiacuteculo 12 Falsificacioacuten de documentos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 83
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Propiedad
bull Artiacuteculo 13 Hurto
bull Artiacuteculo 14 Fraude
bull Artiacuteculo 15 Obtencioacuten indebida de bienes o servicios
bull Artiacuteculo 16 Manejo fraudulento de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 17 Apropiacioacuten de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 18 Provisioacuten indebida de bienes o servicios
bull Artiacuteculo 19 Posesioacuten de equipo para falsificaciones
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 84
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Privacidad de las Personas y de las Comunicaciones
bullArtiacuteculo 20 Violacioacuten de la privacidad de la data o informacioacuten de caraacutecter personal
bullArtiacuteculo 21 Violacioacuten de la privacidad de las comunicaciones
bullArtiacuteculo 22 Revelacioacuten indebida de data o informacioacuten de caraacutecter personal
De los Delitos Contra Nintildeos Nintildeas o Adolescentes
bullArtiacuteculo 23 Difusioacuten o exhibicioacuten de material pornograacutefico
bullArtiacuteculo 24 Exhibicioacuten pornograacutefica de nintildeos o adolescentes
De los Delitos Contra el Orden Econoacutemico
bullArtiacuteculo 25 Apropiacioacuten de propiedad intelectual
bullArtiacuteculo 26 Oferta engantildeosa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 85
Plan de Contingencia Continuidad Operacional
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 86
Plan de Contingencia
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 87
ldquoConjunto de Normas y Procedimientos documentadosy comunicados que tienen por objetivo minimizar los riesgos informaacuteticos mas probablesrdquo
InvolucrabullUso de herramientas
bullCumplimiento de Tareas por
parte de personas
Plan de Contingencia
Consta de tres subplanes independientes
bull Plan de Respaldo crear y conservar en un lugar seguro copias de seguridad de la informacioacuten
bull Pla de Emergencia queacute medidas tomar cuando se estaacute materializando una amenaza o cuando acaba de producirse
bull Plan de Recuperacioacuten medidas que se aplicaran cuando se ha producido un desastre El objetivo es evaluar el impacto y regresar lo antes posible
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 88
Plan de Contingencia
En la elaboracioacuten de este plan no se puede dejar por fuera a los miembros de la organizacioacuten el cual debe estar informado y entrenado para actuar en las funciones que le hayan sido encomendadas en caso de producirse una amenaza o impacto
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 89
Continuidad Operacional
Business Continuity Planning (Plan de Continuidad de negocios)
bull Plan Baacutesico
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Coldsite)
bull Plan Intermedio
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan Alto
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan de respuesta y continuidad de negocios alternativo (sin asistencia de sistemas)
bull Stress Testing al Plan
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 90
El Stress Testing
bull Poner a prueba el planbull Revise y evalueacute
bull Respaldosbull Oportunidad integridad y funcionalidadbull Custodia y transporte
bull Cold y Hotsitebull Funcionalidad accesibilidad y compatibilidadbull Actualizacioacuten oportuna (hotsite)
bull Personalbull Roles y funcionesbull Accesibilidad (contactos y comunicaciones)
bull Simulacioacuten de cataacutestrofesbull Sin previo aviso el director encargado del BCP se presenta en el centro de computo
cronometro en mano y baja la cuchilla de electricidad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 91
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de Lehman Brothers
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el WorldTrade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehman se desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del World Trade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehman teniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 92
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de LehmanBrothers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 93
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el World Trade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehmanse desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 94
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del WorldTrade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehmanteniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 95
La Contingencia Manual la Uacuteltima Frontera
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 96
05062015 97
DATOS BAacuteSICOS
Responsable A Nivel Corporativo Responsable(s) A Nivel Regional
PROVEEDOR (ES)
Origen Responsable Insumo (s)
RESULTADOS
Normas y Procedimientos Asociados Fecha uacuteltima revisioacuten Sistemas Aplicaciones Asociadas
Proceso
CALIFICACIOacuteN DE CONTROLES DE ENTRADA
Actividad
RECOMENDACIONES
Procesamiento
Automaacutetico (A)Manual (M)
Frecuencia
Adiestramiento Proceso Sistema N y P Otros
Negocio Area Localidad
Responsable
Nombre CargoNombre Cargo
NOMBRE
ELABORADO POR
CARGO FIRMA
Calidad de Data (B) Buena (R) Regular (M) Mala Oportunidad (AT) A Tiempo (R) Retrasada Revisioacuten Aprobacioacuten (S) Si (N) NoLEYENDA
Calificacioacuten (F) Fuerte (M) Medio (B) Bajo
DescripcioacutenResponsableDescripcioacuten
Tarea
Descripcioacuten
FRECUENCIA DE LA TAREA Diaria (D) Semanal (S) Mensual (M) Trimestral (T) Anual (A) Ocasional (O)
Soportes Recepcioacuten (P) Papel (E) Electroacutenico Archivo (S) Si (N) No Soportes Enviacuteo (S) Si (N) No Backup (S) Si (N) No
Producto (s) Cliente ReceptorControl
de salida
SoportesFrecuencia
Recepcioacuten Backup
DOCUMENTOS SISTEMAS ASOCIADOS A LOS CONTROLES
CALIFICACIOacuteN DE CONTROLES (por parte del Cliente Receptor)
Revisioacuten
Aprobacioacuten
Revisioacuten
AprobacioacutenTipo de control
Procesamiento
Automaacutetico (A)Manual (M)
Control
De EntradaTipo de control
Soportes
Recepcioacuten Archivo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 98
DATOS BAacuteSICOS
TareaActividad
Proceso Responsable del Proceso
Fecha de Elaboracioacuten 2015
Accioacuten (es) Responsable (s)
OBSERVACIONES ELABORADO POR
FIRMA
NOMBRE
Plan de recuperacioacuten y Reactivacioacuten de Finanzas
Recomendaciones Acciones
La Cadena de Valor de una Organizacioacuten de Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 99
ASESORAR EN CONTROLES DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR DELEGACIONES FINANCIERAS
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
CONTROLAR SEGURIDAD SISTEMA
OPERACIONALES ADMINISTRATIVOS Y OTROS
SISTEMAS FINANCIEROS
DESARROLLAR CONTROLES
DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR Y DESARROLLAR PLAN INTEGRAL DE CONTROL ( PIC )
Asesorar en controles de procesos normas y
Procedimientos
Administrar delegaciones financieras
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
Controlar seguridad sistema
operacionales administrativos y otros
sistemas financieros
Desarrollar
controles de
procesos
normas y
procedimientos
Administrar y desarrollar plan integral de control ( PIC )
Ethical Hacking
bull al conocer el nivel de seguridad que se tiene en nuestra organizacioacuten es mucho maacutes sencillo no simple el tomar medidas que puedan subsanar estas deficienciasiquestPor queacute es
Importante
bull No al usar las armas que el enemigo usa es maacutes factible que podamos determinar el nivel de riesgo y por tanto la respuesta que debemos dar ante un ataque vieacutendolo como analogiacutea meacutedica es como cuando nos vacunan pues nos inoculan una versioacuten del virus del cual nos quieren hacer inmunes
iquestNo es contraproducente
bull Al contratar un servicio o realizarlo de manera interna estamos confiando en la eacutetica profesional de quien evaluacutea por lo que siacute siempre llevamos un riesgo pero se establece un contrato de buena fe hacieacutendolo suficientemente fiable (asegurando)iquestEs fiable
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 51
Ejemplos de Criacutemenes Electroacutenicos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 52
Ataque en 1986 de alemanes trabajando para la KGB contra sistemas estrateacutegicos de EEUU (Clifford Stoll Cuckooacutes egg)
El gusano Morris que se propagoacute por internet en 1988
causando un problema de DoS La causa fue la interrupcioacuten
causada por un programa escrito por Robert Tappan Morris
414 Gang enviacutea ataques contra los registros meacutedicos del
hospital para enfermos de caacutencer Sloan-Kettering
Ataques de Kevin Mitnick 1989-1996
Penetracioacuten de la red de Microsoft en octubre de 2000
por un cracker que ganoacute acceso a programas en desarrollo
Esparcimiento del Love Letter difundido por Onel Guzmaacuten en
Filipinas
53
DDoS contra Yahoo Amazon y Zdnet
Muacuteltiples problemas por virus desde
entonces
Target (Robo de informacioacuten de clientes
Identidad y datos financieros)
Juegos del Hambre
Ataque a Sony (Cyberterrorismo) y la
Respuesta con el apagoacuten de internet a
Korea del Norte
Carnabank (Europa oriental europa
occidental EEUU Panamaacute)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
Ejemplos de Criacutemenes Electroacutenicos
Algunas Clases de Ataques
Negacioacuten de Servicio (DoS)
Robo de contrasentildeas
Robo de identidad
Ingenieriacutea social
Defacement
FraudePirateriacutea de
softwareDumpster
divingCoacutedigo
MaliciosoIP spoofing
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 54
Algunas Clases de Ataques
EspionajeDestruccioacuten o alteracioacuten de informacioacuten
Uso de scripts de ataque
desarrolladosPhishing
Ciber -Terrorismo
War DialingWar
DrivingWalkingWar Chalking
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 55
El Caso Carbanak 1MMMUS$
La banda delictiva ciberneacutetica CARBANAK roba mil millones de doacutelares de 100 instituciones financieras en todo el mundo Kaspersky Lab la INTERPOL EUROPOL y autoridades de diferentes paiacuteses han unido sus fuerzas para dejar al descubierto el complot delictivo de un robo ciberneacutetico sin precedentes Hasta mil millones de doacutelares americanos fueron robados en cerca de dos antildeos de instituciones financieras en todo el mundo Los expertos informan que la responsabilidad del robo recae en una banda multinacional de ciberdelincuentesde Rusia Ucrania y otras partes de Europa asiacute como de China
La banda CARBANAK responsable del robo ciberneacutetico utilizoacute teacutecnicas extraiacutedas del arsenal de los ataques selectivos El complot marca el inicio de una nueva etapa en la evolucioacuten de la actividad de delincuencia ciberneacutetica donde usuarios maliciosos roban dinero directamente de los bancos y evitan concentrar sus ataques en los usuarios finales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 56
Comunicado de prensa 160215 - Karpersky
5705062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
MALWARE
El malware es un tipo de software que tiene como objetivo infiltrarse o dantildear un ordenador sistema de informacioacuten sin el consentimiento de su propietario
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 58
POPUP
bull Un pop-up es un tipo de ventana web que aparece delante de la ventana de un navegador al visitar una paacutegina web
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 59
VOLVER
ADWARE
bull Un programa de clase adware es cualquier programa que automaacuteticamente muestra publicidad web al usuario durante su instalacioacuten o durante su uso para generar lucro a sus autores
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 60
SPAM
bull Se llama spam correo basura a los mensajes no solicitados no deseados o de remitente no conocido habitualmente de tipo publicitario generalmente enviados
en grandes cantidades que perjudican al receptor
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 61
Bomba Loacutegica
Son programas informaacuteticos que se instala en un ordenador y permanece oculto hasta cumplirse una o maacutes condiciones preprogramadas para en ese momento ejecutar una accioacuten
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 62
volver
VIRUS DE MACROS
bull Es una secuencia de oacuterdenes de teclado y ratoacuten asignadas a una sola tecla Los virus de macros afectan a archivos y plantillas que los contienen hacieacutendose pasar por una macro y no actuaraacuten hasta que el archivo se abra o utilice
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 63
VOLVER
VIRUS RESIDENTES
bull Se colocan automaacuteticamente en la memoria RAM del ordenador De este modo pueden controlar e interceptar todas las operaciones llevadas a cabo por el sistema operativo infectando todos aquellos ficheros yo programas que sean ejecutados abiertos cerrados renombrados copiados etc
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 64
VIRUS DE ENLACE
bull Modifican las direcciones que permiten a nivel interno acceder a cada uno de los archivos existentes y como consecuencia no es posible localizarlos y trabajar con ellos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 65
VOLVER
VIRUS MUTANTES
bull Son virus que mutan es decir x Debido a estas mutaciones cada generacioacuten de virus es diferente a la versioacuten anterior dificultando asiacute su deteccioacuten y eliminacioacuten
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 66
VIRUS DE BOOT
bull Se activan en el momento en el que se arranca el ordenador desde un disco infectado ya sea desde el disco duro o desde una memoria USB
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 67
VOLVER
VIRUS DE PROGRAMA
bull Comuacutenmente infectan archivos con extensiones EXE COM OVL DRV BIN DLL y SYS
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 68
VOLVER
VIRUS DE SOBREESCRITURA
bull Sobre-escriben en el interior de los archivos atacados haciendo que se pierda el contenido de los mismos
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 69
Ataques de Seguridad
bull Spyware Es un software de computadoraque al instalarse intercepta o toma controlparcial de la interaccioacuten de lacomputadora y el usuario esto sin que elmismo se de cuenta Estos programaspueden recolectar diferentes tipos deinformacioacuten de los usuarios asiacute comoinstalar software adicional sin elconsentimiento de los mismos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 70
71
Herramientas de Seguridad
bull Gusano Es un programa de computadora quepuede replicarse a si mismo utiliza la red paraenviar copias de si mismo a otros nodos y lopuede hacer sin la intervencioacuten del usuario
A diferencia de los ldquovirusrdquo los gusanos nonecesitan estar amarrados a un programa y sufuncioacuten es principalmente dantildear la red (ejdesempentildeo) mientras que los virus dantildeanarchivos en computadoras
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
72
Ataques de Seguridad
bull Caballo de Troya Es una programa que seinstala bajo la creencia de que se estainstalando alguna otra cosa Los troyanosson programas muy utilizados parainstalar programas tipo ldquobackdoorsrdquo quepermiten el acceso no autorizado a lacomputadora atacada un ejemplo deprogramas tipo backdoor son losKeyloogers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
73
Ataques de Seguridad
bull DoS Denial of service- Ataques quehacen indisponible un servicio a losusuarios
bull DDoS Son conocidos como DNSBackbone Distributed Denial ofServices ndash Ataques tienen comoblanco los servidores raiacutez DNS por lotanto afectan uno de los pilares delInternet los nombres de los dominios
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
74
Ataques de Seguridad
bull Footprinting Teacutecnica utilizada para reunir informacioacuten acerca de sistemas computacionales y las entidades a las que pertenece algunos ejemplos son
- Domain queries
- Network queries
- Organizational queries
- TCP scans
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
75
Ataques de Seguridad
bull Fingerprinting Tambieacuten es conocidocomo TCPIP stack fingerprinting y esutilizado para determinar que sistemaoperativo utiliza alguacuten blanco en la redExiste dos tipos de fingerprinting
- Pasivo- Activo
NMAP es una herramienta que utilizafingerprinting activo para mapearpuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
76
Ataques de Seguridad
bull Escaneo de puertos El escaneo depuertos se basa en el FingerprintingActivo es decir transmite y recibesentildeales como ICMP TELNET SNMPdesde un blanco determinado en lared esto con el fin de obtenerinformacioacuten de dicho blanco en estecaso informacioacuten acerca de suspuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
77
Ataques de Seguridad
bull Sniffing Para llevar a cabo el sniffing esnecesario contar con un ldquopacket snifferrdquoque puede ser software instalado en unacomputadora o un dispositivoindependiente (appliance) estedispositivo es utilizado para interceptar yregistrar traacutefico que pasa a traveacutes de unared o de un segmento de la misma(Puede ser de una red ethernet owireless)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
78
Ataques de Seguridad
bull Spoofing Los ataques tipo spoofing sonaquellos en los que una persona oprograma logra hacerse pasar por otrafalsificando informacioacuten o utilizando laingenieriacutea algunos ataques tipo spoofingson los siguientes
- Falsificacioacuten de direccioacuten de email
- Falsificacioacuten de ID de llamadas telefoacutenicas
- Falsificacioacuten de sitios de internet (phishing)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
79
Ataques de Seguridad
bull Phishing Es el uso de teacutecnicas deingenieriacutea social con la finalidad deadquirir de manera fraudulentainformacioacuten confidencial comonombres de usuarios contrasentildeasinformacioacuten de tarjetas de creacutedito
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
80
Ataques de Seguridad
bull Ingenieriacutea Social Se refiere a unacoleccioacuten de teacutecnicas utilizadas paramanipular a las personas para querealicen alguna accioacuten o divulgueninformacioacuten confidencial
Algunos ingenieros sociales notablesson
- Kevin Mitnik
- Frank Abagnale
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
Ingenieriacutea Social
Es el conjunto de meacutetodos y praacutecticas usados para obtener informacioacuten de usuarios legiacutetimos y con la informacioacuten obtenida lograr acceso a sistemas protegidos siendo esta praacutectica de uso comuacuten entre piratas informaacuteticos y delincuentes computacionales
Coacutemo me afecta Al no validar las referencias o no seguir el protocolo de seguridad adecuado para divulgar contrasentildeas o cualquier otra informacioacuten sensible podemos ser coacutemplices de un crimen Meacutexico ha acordado con organismos internacionales la homologacioacuten yo adecuacioacuten de coacutedigos penales para que estos delitos sean perseguidos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 81
Ingenieriacutea Social
Coacutemo puedo saber si estoy siendo viacutectima de un ingeniero social Muy simple cuando alguien nos pide alguacuten tipo de informacioacuten privilegiada y esta persona es insistente cuando le requerimos seguir un protocolo para validar su intencioacuten es altamente probable que estemos siendo viacutectimas de un intento de robo de informacioacuten por un ingeniero socialhacker
Coacutemo puedo evitarlo Sencillo si no confiamos en la persona que nos solicita los datos (supongamos un teacutecnico de soporte de nuestro lugar de trabajo) podemos pedirle que nos deje sus datos y comunicarnos con el 10 minutos despueacutes de validar que la peticioacuten es legiacutetima es decir soacutelo sigamos los protocolos que existen en el trabajo y crear los propios en casa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 82
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra los Sistemas que Utilizan Tecnologiacuteas de Informacioacuten
bull Artiacuteculo 6 Acceso indebido
bull Artiacuteculo 7 Sabotaje o dantildeo a sistemas
bull Artiacuteculo 8 Favorecimiento culposo del sabotaje o dantildeo
bull Artiacuteculo 9 Acceso indebido o sabotaje a sistemas protegidos
bull Artiacuteculo 10 Posesioacuten de equipos o prestacioacuten de servicios de sabotaje
bull Artiacuteculo 11 Espionaje informaacutetico
bull Artiacuteculo 12 Falsificacioacuten de documentos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 83
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Propiedad
bull Artiacuteculo 13 Hurto
bull Artiacuteculo 14 Fraude
bull Artiacuteculo 15 Obtencioacuten indebida de bienes o servicios
bull Artiacuteculo 16 Manejo fraudulento de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 17 Apropiacioacuten de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 18 Provisioacuten indebida de bienes o servicios
bull Artiacuteculo 19 Posesioacuten de equipo para falsificaciones
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 84
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Privacidad de las Personas y de las Comunicaciones
bullArtiacuteculo 20 Violacioacuten de la privacidad de la data o informacioacuten de caraacutecter personal
bullArtiacuteculo 21 Violacioacuten de la privacidad de las comunicaciones
bullArtiacuteculo 22 Revelacioacuten indebida de data o informacioacuten de caraacutecter personal
De los Delitos Contra Nintildeos Nintildeas o Adolescentes
bullArtiacuteculo 23 Difusioacuten o exhibicioacuten de material pornograacutefico
bullArtiacuteculo 24 Exhibicioacuten pornograacutefica de nintildeos o adolescentes
De los Delitos Contra el Orden Econoacutemico
bullArtiacuteculo 25 Apropiacioacuten de propiedad intelectual
bullArtiacuteculo 26 Oferta engantildeosa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 85
Plan de Contingencia Continuidad Operacional
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 86
Plan de Contingencia
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 87
ldquoConjunto de Normas y Procedimientos documentadosy comunicados que tienen por objetivo minimizar los riesgos informaacuteticos mas probablesrdquo
InvolucrabullUso de herramientas
bullCumplimiento de Tareas por
parte de personas
Plan de Contingencia
Consta de tres subplanes independientes
bull Plan de Respaldo crear y conservar en un lugar seguro copias de seguridad de la informacioacuten
bull Pla de Emergencia queacute medidas tomar cuando se estaacute materializando una amenaza o cuando acaba de producirse
bull Plan de Recuperacioacuten medidas que se aplicaran cuando se ha producido un desastre El objetivo es evaluar el impacto y regresar lo antes posible
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 88
Plan de Contingencia
En la elaboracioacuten de este plan no se puede dejar por fuera a los miembros de la organizacioacuten el cual debe estar informado y entrenado para actuar en las funciones que le hayan sido encomendadas en caso de producirse una amenaza o impacto
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 89
Continuidad Operacional
Business Continuity Planning (Plan de Continuidad de negocios)
bull Plan Baacutesico
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Coldsite)
bull Plan Intermedio
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan Alto
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan de respuesta y continuidad de negocios alternativo (sin asistencia de sistemas)
bull Stress Testing al Plan
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 90
El Stress Testing
bull Poner a prueba el planbull Revise y evalueacute
bull Respaldosbull Oportunidad integridad y funcionalidadbull Custodia y transporte
bull Cold y Hotsitebull Funcionalidad accesibilidad y compatibilidadbull Actualizacioacuten oportuna (hotsite)
bull Personalbull Roles y funcionesbull Accesibilidad (contactos y comunicaciones)
bull Simulacioacuten de cataacutestrofesbull Sin previo aviso el director encargado del BCP se presenta en el centro de computo
cronometro en mano y baja la cuchilla de electricidad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 91
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de Lehman Brothers
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el WorldTrade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehman se desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del World Trade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehman teniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 92
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de LehmanBrothers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 93
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el World Trade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehmanse desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 94
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del WorldTrade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehmanteniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 95
La Contingencia Manual la Uacuteltima Frontera
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 96
05062015 97
DATOS BAacuteSICOS
Responsable A Nivel Corporativo Responsable(s) A Nivel Regional
PROVEEDOR (ES)
Origen Responsable Insumo (s)
RESULTADOS
Normas y Procedimientos Asociados Fecha uacuteltima revisioacuten Sistemas Aplicaciones Asociadas
Proceso
CALIFICACIOacuteN DE CONTROLES DE ENTRADA
Actividad
RECOMENDACIONES
Procesamiento
Automaacutetico (A)Manual (M)
Frecuencia
Adiestramiento Proceso Sistema N y P Otros
Negocio Area Localidad
Responsable
Nombre CargoNombre Cargo
NOMBRE
ELABORADO POR
CARGO FIRMA
Calidad de Data (B) Buena (R) Regular (M) Mala Oportunidad (AT) A Tiempo (R) Retrasada Revisioacuten Aprobacioacuten (S) Si (N) NoLEYENDA
Calificacioacuten (F) Fuerte (M) Medio (B) Bajo
DescripcioacutenResponsableDescripcioacuten
Tarea
Descripcioacuten
FRECUENCIA DE LA TAREA Diaria (D) Semanal (S) Mensual (M) Trimestral (T) Anual (A) Ocasional (O)
Soportes Recepcioacuten (P) Papel (E) Electroacutenico Archivo (S) Si (N) No Soportes Enviacuteo (S) Si (N) No Backup (S) Si (N) No
Producto (s) Cliente ReceptorControl
de salida
SoportesFrecuencia
Recepcioacuten Backup
DOCUMENTOS SISTEMAS ASOCIADOS A LOS CONTROLES
CALIFICACIOacuteN DE CONTROLES (por parte del Cliente Receptor)
Revisioacuten
Aprobacioacuten
Revisioacuten
AprobacioacutenTipo de control
Procesamiento
Automaacutetico (A)Manual (M)
Control
De EntradaTipo de control
Soportes
Recepcioacuten Archivo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 98
DATOS BAacuteSICOS
TareaActividad
Proceso Responsable del Proceso
Fecha de Elaboracioacuten 2015
Accioacuten (es) Responsable (s)
OBSERVACIONES ELABORADO POR
FIRMA
NOMBRE
Plan de recuperacioacuten y Reactivacioacuten de Finanzas
Recomendaciones Acciones
La Cadena de Valor de una Organizacioacuten de Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 99
ASESORAR EN CONTROLES DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR DELEGACIONES FINANCIERAS
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
CONTROLAR SEGURIDAD SISTEMA
OPERACIONALES ADMINISTRATIVOS Y OTROS
SISTEMAS FINANCIEROS
DESARROLLAR CONTROLES
DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR Y DESARROLLAR PLAN INTEGRAL DE CONTROL ( PIC )
Asesorar en controles de procesos normas y
Procedimientos
Administrar delegaciones financieras
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
Controlar seguridad sistema
operacionales administrativos y otros
sistemas financieros
Desarrollar
controles de
procesos
normas y
procedimientos
Administrar y desarrollar plan integral de control ( PIC )
Ejemplos de Criacutemenes Electroacutenicos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 52
Ataque en 1986 de alemanes trabajando para la KGB contra sistemas estrateacutegicos de EEUU (Clifford Stoll Cuckooacutes egg)
El gusano Morris que se propagoacute por internet en 1988
causando un problema de DoS La causa fue la interrupcioacuten
causada por un programa escrito por Robert Tappan Morris
414 Gang enviacutea ataques contra los registros meacutedicos del
hospital para enfermos de caacutencer Sloan-Kettering
Ataques de Kevin Mitnick 1989-1996
Penetracioacuten de la red de Microsoft en octubre de 2000
por un cracker que ganoacute acceso a programas en desarrollo
Esparcimiento del Love Letter difundido por Onel Guzmaacuten en
Filipinas
53
DDoS contra Yahoo Amazon y Zdnet
Muacuteltiples problemas por virus desde
entonces
Target (Robo de informacioacuten de clientes
Identidad y datos financieros)
Juegos del Hambre
Ataque a Sony (Cyberterrorismo) y la
Respuesta con el apagoacuten de internet a
Korea del Norte
Carnabank (Europa oriental europa
occidental EEUU Panamaacute)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
Ejemplos de Criacutemenes Electroacutenicos
Algunas Clases de Ataques
Negacioacuten de Servicio (DoS)
Robo de contrasentildeas
Robo de identidad
Ingenieriacutea social
Defacement
FraudePirateriacutea de
softwareDumpster
divingCoacutedigo
MaliciosoIP spoofing
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 54
Algunas Clases de Ataques
EspionajeDestruccioacuten o alteracioacuten de informacioacuten
Uso de scripts de ataque
desarrolladosPhishing
Ciber -Terrorismo
War DialingWar
DrivingWalkingWar Chalking
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 55
El Caso Carbanak 1MMMUS$
La banda delictiva ciberneacutetica CARBANAK roba mil millones de doacutelares de 100 instituciones financieras en todo el mundo Kaspersky Lab la INTERPOL EUROPOL y autoridades de diferentes paiacuteses han unido sus fuerzas para dejar al descubierto el complot delictivo de un robo ciberneacutetico sin precedentes Hasta mil millones de doacutelares americanos fueron robados en cerca de dos antildeos de instituciones financieras en todo el mundo Los expertos informan que la responsabilidad del robo recae en una banda multinacional de ciberdelincuentesde Rusia Ucrania y otras partes de Europa asiacute como de China
La banda CARBANAK responsable del robo ciberneacutetico utilizoacute teacutecnicas extraiacutedas del arsenal de los ataques selectivos El complot marca el inicio de una nueva etapa en la evolucioacuten de la actividad de delincuencia ciberneacutetica donde usuarios maliciosos roban dinero directamente de los bancos y evitan concentrar sus ataques en los usuarios finales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 56
Comunicado de prensa 160215 - Karpersky
5705062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
MALWARE
El malware es un tipo de software que tiene como objetivo infiltrarse o dantildear un ordenador sistema de informacioacuten sin el consentimiento de su propietario
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 58
POPUP
bull Un pop-up es un tipo de ventana web que aparece delante de la ventana de un navegador al visitar una paacutegina web
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 59
VOLVER
ADWARE
bull Un programa de clase adware es cualquier programa que automaacuteticamente muestra publicidad web al usuario durante su instalacioacuten o durante su uso para generar lucro a sus autores
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 60
SPAM
bull Se llama spam correo basura a los mensajes no solicitados no deseados o de remitente no conocido habitualmente de tipo publicitario generalmente enviados
en grandes cantidades que perjudican al receptor
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 61
Bomba Loacutegica
Son programas informaacuteticos que se instala en un ordenador y permanece oculto hasta cumplirse una o maacutes condiciones preprogramadas para en ese momento ejecutar una accioacuten
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 62
volver
VIRUS DE MACROS
bull Es una secuencia de oacuterdenes de teclado y ratoacuten asignadas a una sola tecla Los virus de macros afectan a archivos y plantillas que los contienen hacieacutendose pasar por una macro y no actuaraacuten hasta que el archivo se abra o utilice
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 63
VOLVER
VIRUS RESIDENTES
bull Se colocan automaacuteticamente en la memoria RAM del ordenador De este modo pueden controlar e interceptar todas las operaciones llevadas a cabo por el sistema operativo infectando todos aquellos ficheros yo programas que sean ejecutados abiertos cerrados renombrados copiados etc
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 64
VIRUS DE ENLACE
bull Modifican las direcciones que permiten a nivel interno acceder a cada uno de los archivos existentes y como consecuencia no es posible localizarlos y trabajar con ellos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 65
VOLVER
VIRUS MUTANTES
bull Son virus que mutan es decir x Debido a estas mutaciones cada generacioacuten de virus es diferente a la versioacuten anterior dificultando asiacute su deteccioacuten y eliminacioacuten
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 66
VIRUS DE BOOT
bull Se activan en el momento en el que se arranca el ordenador desde un disco infectado ya sea desde el disco duro o desde una memoria USB
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 67
VOLVER
VIRUS DE PROGRAMA
bull Comuacutenmente infectan archivos con extensiones EXE COM OVL DRV BIN DLL y SYS
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 68
VOLVER
VIRUS DE SOBREESCRITURA
bull Sobre-escriben en el interior de los archivos atacados haciendo que se pierda el contenido de los mismos
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 69
Ataques de Seguridad
bull Spyware Es un software de computadoraque al instalarse intercepta o toma controlparcial de la interaccioacuten de lacomputadora y el usuario esto sin que elmismo se de cuenta Estos programaspueden recolectar diferentes tipos deinformacioacuten de los usuarios asiacute comoinstalar software adicional sin elconsentimiento de los mismos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 70
71
Herramientas de Seguridad
bull Gusano Es un programa de computadora quepuede replicarse a si mismo utiliza la red paraenviar copias de si mismo a otros nodos y lopuede hacer sin la intervencioacuten del usuario
A diferencia de los ldquovirusrdquo los gusanos nonecesitan estar amarrados a un programa y sufuncioacuten es principalmente dantildear la red (ejdesempentildeo) mientras que los virus dantildeanarchivos en computadoras
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
72
Ataques de Seguridad
bull Caballo de Troya Es una programa que seinstala bajo la creencia de que se estainstalando alguna otra cosa Los troyanosson programas muy utilizados parainstalar programas tipo ldquobackdoorsrdquo quepermiten el acceso no autorizado a lacomputadora atacada un ejemplo deprogramas tipo backdoor son losKeyloogers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
73
Ataques de Seguridad
bull DoS Denial of service- Ataques quehacen indisponible un servicio a losusuarios
bull DDoS Son conocidos como DNSBackbone Distributed Denial ofServices ndash Ataques tienen comoblanco los servidores raiacutez DNS por lotanto afectan uno de los pilares delInternet los nombres de los dominios
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
74
Ataques de Seguridad
bull Footprinting Teacutecnica utilizada para reunir informacioacuten acerca de sistemas computacionales y las entidades a las que pertenece algunos ejemplos son
- Domain queries
- Network queries
- Organizational queries
- TCP scans
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
75
Ataques de Seguridad
bull Fingerprinting Tambieacuten es conocidocomo TCPIP stack fingerprinting y esutilizado para determinar que sistemaoperativo utiliza alguacuten blanco en la redExiste dos tipos de fingerprinting
- Pasivo- Activo
NMAP es una herramienta que utilizafingerprinting activo para mapearpuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
76
Ataques de Seguridad
bull Escaneo de puertos El escaneo depuertos se basa en el FingerprintingActivo es decir transmite y recibesentildeales como ICMP TELNET SNMPdesde un blanco determinado en lared esto con el fin de obtenerinformacioacuten de dicho blanco en estecaso informacioacuten acerca de suspuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
77
Ataques de Seguridad
bull Sniffing Para llevar a cabo el sniffing esnecesario contar con un ldquopacket snifferrdquoque puede ser software instalado en unacomputadora o un dispositivoindependiente (appliance) estedispositivo es utilizado para interceptar yregistrar traacutefico que pasa a traveacutes de unared o de un segmento de la misma(Puede ser de una red ethernet owireless)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
78
Ataques de Seguridad
bull Spoofing Los ataques tipo spoofing sonaquellos en los que una persona oprograma logra hacerse pasar por otrafalsificando informacioacuten o utilizando laingenieriacutea algunos ataques tipo spoofingson los siguientes
- Falsificacioacuten de direccioacuten de email
- Falsificacioacuten de ID de llamadas telefoacutenicas
- Falsificacioacuten de sitios de internet (phishing)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
79
Ataques de Seguridad
bull Phishing Es el uso de teacutecnicas deingenieriacutea social con la finalidad deadquirir de manera fraudulentainformacioacuten confidencial comonombres de usuarios contrasentildeasinformacioacuten de tarjetas de creacutedito
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
80
Ataques de Seguridad
bull Ingenieriacutea Social Se refiere a unacoleccioacuten de teacutecnicas utilizadas paramanipular a las personas para querealicen alguna accioacuten o divulgueninformacioacuten confidencial
Algunos ingenieros sociales notablesson
- Kevin Mitnik
- Frank Abagnale
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
Ingenieriacutea Social
Es el conjunto de meacutetodos y praacutecticas usados para obtener informacioacuten de usuarios legiacutetimos y con la informacioacuten obtenida lograr acceso a sistemas protegidos siendo esta praacutectica de uso comuacuten entre piratas informaacuteticos y delincuentes computacionales
Coacutemo me afecta Al no validar las referencias o no seguir el protocolo de seguridad adecuado para divulgar contrasentildeas o cualquier otra informacioacuten sensible podemos ser coacutemplices de un crimen Meacutexico ha acordado con organismos internacionales la homologacioacuten yo adecuacioacuten de coacutedigos penales para que estos delitos sean perseguidos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 81
Ingenieriacutea Social
Coacutemo puedo saber si estoy siendo viacutectima de un ingeniero social Muy simple cuando alguien nos pide alguacuten tipo de informacioacuten privilegiada y esta persona es insistente cuando le requerimos seguir un protocolo para validar su intencioacuten es altamente probable que estemos siendo viacutectimas de un intento de robo de informacioacuten por un ingeniero socialhacker
Coacutemo puedo evitarlo Sencillo si no confiamos en la persona que nos solicita los datos (supongamos un teacutecnico de soporte de nuestro lugar de trabajo) podemos pedirle que nos deje sus datos y comunicarnos con el 10 minutos despueacutes de validar que la peticioacuten es legiacutetima es decir soacutelo sigamos los protocolos que existen en el trabajo y crear los propios en casa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 82
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra los Sistemas que Utilizan Tecnologiacuteas de Informacioacuten
bull Artiacuteculo 6 Acceso indebido
bull Artiacuteculo 7 Sabotaje o dantildeo a sistemas
bull Artiacuteculo 8 Favorecimiento culposo del sabotaje o dantildeo
bull Artiacuteculo 9 Acceso indebido o sabotaje a sistemas protegidos
bull Artiacuteculo 10 Posesioacuten de equipos o prestacioacuten de servicios de sabotaje
bull Artiacuteculo 11 Espionaje informaacutetico
bull Artiacuteculo 12 Falsificacioacuten de documentos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 83
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Propiedad
bull Artiacuteculo 13 Hurto
bull Artiacuteculo 14 Fraude
bull Artiacuteculo 15 Obtencioacuten indebida de bienes o servicios
bull Artiacuteculo 16 Manejo fraudulento de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 17 Apropiacioacuten de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 18 Provisioacuten indebida de bienes o servicios
bull Artiacuteculo 19 Posesioacuten de equipo para falsificaciones
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 84
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Privacidad de las Personas y de las Comunicaciones
bullArtiacuteculo 20 Violacioacuten de la privacidad de la data o informacioacuten de caraacutecter personal
bullArtiacuteculo 21 Violacioacuten de la privacidad de las comunicaciones
bullArtiacuteculo 22 Revelacioacuten indebida de data o informacioacuten de caraacutecter personal
De los Delitos Contra Nintildeos Nintildeas o Adolescentes
bullArtiacuteculo 23 Difusioacuten o exhibicioacuten de material pornograacutefico
bullArtiacuteculo 24 Exhibicioacuten pornograacutefica de nintildeos o adolescentes
De los Delitos Contra el Orden Econoacutemico
bullArtiacuteculo 25 Apropiacioacuten de propiedad intelectual
bullArtiacuteculo 26 Oferta engantildeosa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 85
Plan de Contingencia Continuidad Operacional
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 86
Plan de Contingencia
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 87
ldquoConjunto de Normas y Procedimientos documentadosy comunicados que tienen por objetivo minimizar los riesgos informaacuteticos mas probablesrdquo
InvolucrabullUso de herramientas
bullCumplimiento de Tareas por
parte de personas
Plan de Contingencia
Consta de tres subplanes independientes
bull Plan de Respaldo crear y conservar en un lugar seguro copias de seguridad de la informacioacuten
bull Pla de Emergencia queacute medidas tomar cuando se estaacute materializando una amenaza o cuando acaba de producirse
bull Plan de Recuperacioacuten medidas que se aplicaran cuando se ha producido un desastre El objetivo es evaluar el impacto y regresar lo antes posible
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 88
Plan de Contingencia
En la elaboracioacuten de este plan no se puede dejar por fuera a los miembros de la organizacioacuten el cual debe estar informado y entrenado para actuar en las funciones que le hayan sido encomendadas en caso de producirse una amenaza o impacto
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 89
Continuidad Operacional
Business Continuity Planning (Plan de Continuidad de negocios)
bull Plan Baacutesico
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Coldsite)
bull Plan Intermedio
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan Alto
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan de respuesta y continuidad de negocios alternativo (sin asistencia de sistemas)
bull Stress Testing al Plan
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 90
El Stress Testing
bull Poner a prueba el planbull Revise y evalueacute
bull Respaldosbull Oportunidad integridad y funcionalidadbull Custodia y transporte
bull Cold y Hotsitebull Funcionalidad accesibilidad y compatibilidadbull Actualizacioacuten oportuna (hotsite)
bull Personalbull Roles y funcionesbull Accesibilidad (contactos y comunicaciones)
bull Simulacioacuten de cataacutestrofesbull Sin previo aviso el director encargado del BCP se presenta en el centro de computo
cronometro en mano y baja la cuchilla de electricidad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 91
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de Lehman Brothers
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el WorldTrade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehman se desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del World Trade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehman teniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 92
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de LehmanBrothers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 93
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el World Trade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehmanse desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 94
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del WorldTrade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehmanteniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 95
La Contingencia Manual la Uacuteltima Frontera
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 96
05062015 97
DATOS BAacuteSICOS
Responsable A Nivel Corporativo Responsable(s) A Nivel Regional
PROVEEDOR (ES)
Origen Responsable Insumo (s)
RESULTADOS
Normas y Procedimientos Asociados Fecha uacuteltima revisioacuten Sistemas Aplicaciones Asociadas
Proceso
CALIFICACIOacuteN DE CONTROLES DE ENTRADA
Actividad
RECOMENDACIONES
Procesamiento
Automaacutetico (A)Manual (M)
Frecuencia
Adiestramiento Proceso Sistema N y P Otros
Negocio Area Localidad
Responsable
Nombre CargoNombre Cargo
NOMBRE
ELABORADO POR
CARGO FIRMA
Calidad de Data (B) Buena (R) Regular (M) Mala Oportunidad (AT) A Tiempo (R) Retrasada Revisioacuten Aprobacioacuten (S) Si (N) NoLEYENDA
Calificacioacuten (F) Fuerte (M) Medio (B) Bajo
DescripcioacutenResponsableDescripcioacuten
Tarea
Descripcioacuten
FRECUENCIA DE LA TAREA Diaria (D) Semanal (S) Mensual (M) Trimestral (T) Anual (A) Ocasional (O)
Soportes Recepcioacuten (P) Papel (E) Electroacutenico Archivo (S) Si (N) No Soportes Enviacuteo (S) Si (N) No Backup (S) Si (N) No
Producto (s) Cliente ReceptorControl
de salida
SoportesFrecuencia
Recepcioacuten Backup
DOCUMENTOS SISTEMAS ASOCIADOS A LOS CONTROLES
CALIFICACIOacuteN DE CONTROLES (por parte del Cliente Receptor)
Revisioacuten
Aprobacioacuten
Revisioacuten
AprobacioacutenTipo de control
Procesamiento
Automaacutetico (A)Manual (M)
Control
De EntradaTipo de control
Soportes
Recepcioacuten Archivo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 98
DATOS BAacuteSICOS
TareaActividad
Proceso Responsable del Proceso
Fecha de Elaboracioacuten 2015
Accioacuten (es) Responsable (s)
OBSERVACIONES ELABORADO POR
FIRMA
NOMBRE
Plan de recuperacioacuten y Reactivacioacuten de Finanzas
Recomendaciones Acciones
La Cadena de Valor de una Organizacioacuten de Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 99
ASESORAR EN CONTROLES DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR DELEGACIONES FINANCIERAS
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
CONTROLAR SEGURIDAD SISTEMA
OPERACIONALES ADMINISTRATIVOS Y OTROS
SISTEMAS FINANCIEROS
DESARROLLAR CONTROLES
DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR Y DESARROLLAR PLAN INTEGRAL DE CONTROL ( PIC )
Asesorar en controles de procesos normas y
Procedimientos
Administrar delegaciones financieras
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
Controlar seguridad sistema
operacionales administrativos y otros
sistemas financieros
Desarrollar
controles de
procesos
normas y
procedimientos
Administrar y desarrollar plan integral de control ( PIC )
53
DDoS contra Yahoo Amazon y Zdnet
Muacuteltiples problemas por virus desde
entonces
Target (Robo de informacioacuten de clientes
Identidad y datos financieros)
Juegos del Hambre
Ataque a Sony (Cyberterrorismo) y la
Respuesta con el apagoacuten de internet a
Korea del Norte
Carnabank (Europa oriental europa
occidental EEUU Panamaacute)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
Ejemplos de Criacutemenes Electroacutenicos
Algunas Clases de Ataques
Negacioacuten de Servicio (DoS)
Robo de contrasentildeas
Robo de identidad
Ingenieriacutea social
Defacement
FraudePirateriacutea de
softwareDumpster
divingCoacutedigo
MaliciosoIP spoofing
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 54
Algunas Clases de Ataques
EspionajeDestruccioacuten o alteracioacuten de informacioacuten
Uso de scripts de ataque
desarrolladosPhishing
Ciber -Terrorismo
War DialingWar
DrivingWalkingWar Chalking
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 55
El Caso Carbanak 1MMMUS$
La banda delictiva ciberneacutetica CARBANAK roba mil millones de doacutelares de 100 instituciones financieras en todo el mundo Kaspersky Lab la INTERPOL EUROPOL y autoridades de diferentes paiacuteses han unido sus fuerzas para dejar al descubierto el complot delictivo de un robo ciberneacutetico sin precedentes Hasta mil millones de doacutelares americanos fueron robados en cerca de dos antildeos de instituciones financieras en todo el mundo Los expertos informan que la responsabilidad del robo recae en una banda multinacional de ciberdelincuentesde Rusia Ucrania y otras partes de Europa asiacute como de China
La banda CARBANAK responsable del robo ciberneacutetico utilizoacute teacutecnicas extraiacutedas del arsenal de los ataques selectivos El complot marca el inicio de una nueva etapa en la evolucioacuten de la actividad de delincuencia ciberneacutetica donde usuarios maliciosos roban dinero directamente de los bancos y evitan concentrar sus ataques en los usuarios finales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 56
Comunicado de prensa 160215 - Karpersky
5705062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
MALWARE
El malware es un tipo de software que tiene como objetivo infiltrarse o dantildear un ordenador sistema de informacioacuten sin el consentimiento de su propietario
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 58
POPUP
bull Un pop-up es un tipo de ventana web que aparece delante de la ventana de un navegador al visitar una paacutegina web
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 59
VOLVER
ADWARE
bull Un programa de clase adware es cualquier programa que automaacuteticamente muestra publicidad web al usuario durante su instalacioacuten o durante su uso para generar lucro a sus autores
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 60
SPAM
bull Se llama spam correo basura a los mensajes no solicitados no deseados o de remitente no conocido habitualmente de tipo publicitario generalmente enviados
en grandes cantidades que perjudican al receptor
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 61
Bomba Loacutegica
Son programas informaacuteticos que se instala en un ordenador y permanece oculto hasta cumplirse una o maacutes condiciones preprogramadas para en ese momento ejecutar una accioacuten
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 62
volver
VIRUS DE MACROS
bull Es una secuencia de oacuterdenes de teclado y ratoacuten asignadas a una sola tecla Los virus de macros afectan a archivos y plantillas que los contienen hacieacutendose pasar por una macro y no actuaraacuten hasta que el archivo se abra o utilice
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 63
VOLVER
VIRUS RESIDENTES
bull Se colocan automaacuteticamente en la memoria RAM del ordenador De este modo pueden controlar e interceptar todas las operaciones llevadas a cabo por el sistema operativo infectando todos aquellos ficheros yo programas que sean ejecutados abiertos cerrados renombrados copiados etc
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 64
VIRUS DE ENLACE
bull Modifican las direcciones que permiten a nivel interno acceder a cada uno de los archivos existentes y como consecuencia no es posible localizarlos y trabajar con ellos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 65
VOLVER
VIRUS MUTANTES
bull Son virus que mutan es decir x Debido a estas mutaciones cada generacioacuten de virus es diferente a la versioacuten anterior dificultando asiacute su deteccioacuten y eliminacioacuten
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 66
VIRUS DE BOOT
bull Se activan en el momento en el que se arranca el ordenador desde un disco infectado ya sea desde el disco duro o desde una memoria USB
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 67
VOLVER
VIRUS DE PROGRAMA
bull Comuacutenmente infectan archivos con extensiones EXE COM OVL DRV BIN DLL y SYS
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 68
VOLVER
VIRUS DE SOBREESCRITURA
bull Sobre-escriben en el interior de los archivos atacados haciendo que se pierda el contenido de los mismos
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 69
Ataques de Seguridad
bull Spyware Es un software de computadoraque al instalarse intercepta o toma controlparcial de la interaccioacuten de lacomputadora y el usuario esto sin que elmismo se de cuenta Estos programaspueden recolectar diferentes tipos deinformacioacuten de los usuarios asiacute comoinstalar software adicional sin elconsentimiento de los mismos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 70
71
Herramientas de Seguridad
bull Gusano Es un programa de computadora quepuede replicarse a si mismo utiliza la red paraenviar copias de si mismo a otros nodos y lopuede hacer sin la intervencioacuten del usuario
A diferencia de los ldquovirusrdquo los gusanos nonecesitan estar amarrados a un programa y sufuncioacuten es principalmente dantildear la red (ejdesempentildeo) mientras que los virus dantildeanarchivos en computadoras
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
72
Ataques de Seguridad
bull Caballo de Troya Es una programa que seinstala bajo la creencia de que se estainstalando alguna otra cosa Los troyanosson programas muy utilizados parainstalar programas tipo ldquobackdoorsrdquo quepermiten el acceso no autorizado a lacomputadora atacada un ejemplo deprogramas tipo backdoor son losKeyloogers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
73
Ataques de Seguridad
bull DoS Denial of service- Ataques quehacen indisponible un servicio a losusuarios
bull DDoS Son conocidos como DNSBackbone Distributed Denial ofServices ndash Ataques tienen comoblanco los servidores raiacutez DNS por lotanto afectan uno de los pilares delInternet los nombres de los dominios
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
74
Ataques de Seguridad
bull Footprinting Teacutecnica utilizada para reunir informacioacuten acerca de sistemas computacionales y las entidades a las que pertenece algunos ejemplos son
- Domain queries
- Network queries
- Organizational queries
- TCP scans
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
75
Ataques de Seguridad
bull Fingerprinting Tambieacuten es conocidocomo TCPIP stack fingerprinting y esutilizado para determinar que sistemaoperativo utiliza alguacuten blanco en la redExiste dos tipos de fingerprinting
- Pasivo- Activo
NMAP es una herramienta que utilizafingerprinting activo para mapearpuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
76
Ataques de Seguridad
bull Escaneo de puertos El escaneo depuertos se basa en el FingerprintingActivo es decir transmite y recibesentildeales como ICMP TELNET SNMPdesde un blanco determinado en lared esto con el fin de obtenerinformacioacuten de dicho blanco en estecaso informacioacuten acerca de suspuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
77
Ataques de Seguridad
bull Sniffing Para llevar a cabo el sniffing esnecesario contar con un ldquopacket snifferrdquoque puede ser software instalado en unacomputadora o un dispositivoindependiente (appliance) estedispositivo es utilizado para interceptar yregistrar traacutefico que pasa a traveacutes de unared o de un segmento de la misma(Puede ser de una red ethernet owireless)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
78
Ataques de Seguridad
bull Spoofing Los ataques tipo spoofing sonaquellos en los que una persona oprograma logra hacerse pasar por otrafalsificando informacioacuten o utilizando laingenieriacutea algunos ataques tipo spoofingson los siguientes
- Falsificacioacuten de direccioacuten de email
- Falsificacioacuten de ID de llamadas telefoacutenicas
- Falsificacioacuten de sitios de internet (phishing)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
79
Ataques de Seguridad
bull Phishing Es el uso de teacutecnicas deingenieriacutea social con la finalidad deadquirir de manera fraudulentainformacioacuten confidencial comonombres de usuarios contrasentildeasinformacioacuten de tarjetas de creacutedito
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
80
Ataques de Seguridad
bull Ingenieriacutea Social Se refiere a unacoleccioacuten de teacutecnicas utilizadas paramanipular a las personas para querealicen alguna accioacuten o divulgueninformacioacuten confidencial
Algunos ingenieros sociales notablesson
- Kevin Mitnik
- Frank Abagnale
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
Ingenieriacutea Social
Es el conjunto de meacutetodos y praacutecticas usados para obtener informacioacuten de usuarios legiacutetimos y con la informacioacuten obtenida lograr acceso a sistemas protegidos siendo esta praacutectica de uso comuacuten entre piratas informaacuteticos y delincuentes computacionales
Coacutemo me afecta Al no validar las referencias o no seguir el protocolo de seguridad adecuado para divulgar contrasentildeas o cualquier otra informacioacuten sensible podemos ser coacutemplices de un crimen Meacutexico ha acordado con organismos internacionales la homologacioacuten yo adecuacioacuten de coacutedigos penales para que estos delitos sean perseguidos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 81
Ingenieriacutea Social
Coacutemo puedo saber si estoy siendo viacutectima de un ingeniero social Muy simple cuando alguien nos pide alguacuten tipo de informacioacuten privilegiada y esta persona es insistente cuando le requerimos seguir un protocolo para validar su intencioacuten es altamente probable que estemos siendo viacutectimas de un intento de robo de informacioacuten por un ingeniero socialhacker
Coacutemo puedo evitarlo Sencillo si no confiamos en la persona que nos solicita los datos (supongamos un teacutecnico de soporte de nuestro lugar de trabajo) podemos pedirle que nos deje sus datos y comunicarnos con el 10 minutos despueacutes de validar que la peticioacuten es legiacutetima es decir soacutelo sigamos los protocolos que existen en el trabajo y crear los propios en casa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 82
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra los Sistemas que Utilizan Tecnologiacuteas de Informacioacuten
bull Artiacuteculo 6 Acceso indebido
bull Artiacuteculo 7 Sabotaje o dantildeo a sistemas
bull Artiacuteculo 8 Favorecimiento culposo del sabotaje o dantildeo
bull Artiacuteculo 9 Acceso indebido o sabotaje a sistemas protegidos
bull Artiacuteculo 10 Posesioacuten de equipos o prestacioacuten de servicios de sabotaje
bull Artiacuteculo 11 Espionaje informaacutetico
bull Artiacuteculo 12 Falsificacioacuten de documentos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 83
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Propiedad
bull Artiacuteculo 13 Hurto
bull Artiacuteculo 14 Fraude
bull Artiacuteculo 15 Obtencioacuten indebida de bienes o servicios
bull Artiacuteculo 16 Manejo fraudulento de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 17 Apropiacioacuten de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 18 Provisioacuten indebida de bienes o servicios
bull Artiacuteculo 19 Posesioacuten de equipo para falsificaciones
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 84
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Privacidad de las Personas y de las Comunicaciones
bullArtiacuteculo 20 Violacioacuten de la privacidad de la data o informacioacuten de caraacutecter personal
bullArtiacuteculo 21 Violacioacuten de la privacidad de las comunicaciones
bullArtiacuteculo 22 Revelacioacuten indebida de data o informacioacuten de caraacutecter personal
De los Delitos Contra Nintildeos Nintildeas o Adolescentes
bullArtiacuteculo 23 Difusioacuten o exhibicioacuten de material pornograacutefico
bullArtiacuteculo 24 Exhibicioacuten pornograacutefica de nintildeos o adolescentes
De los Delitos Contra el Orden Econoacutemico
bullArtiacuteculo 25 Apropiacioacuten de propiedad intelectual
bullArtiacuteculo 26 Oferta engantildeosa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 85
Plan de Contingencia Continuidad Operacional
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 86
Plan de Contingencia
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 87
ldquoConjunto de Normas y Procedimientos documentadosy comunicados que tienen por objetivo minimizar los riesgos informaacuteticos mas probablesrdquo
InvolucrabullUso de herramientas
bullCumplimiento de Tareas por
parte de personas
Plan de Contingencia
Consta de tres subplanes independientes
bull Plan de Respaldo crear y conservar en un lugar seguro copias de seguridad de la informacioacuten
bull Pla de Emergencia queacute medidas tomar cuando se estaacute materializando una amenaza o cuando acaba de producirse
bull Plan de Recuperacioacuten medidas que se aplicaran cuando se ha producido un desastre El objetivo es evaluar el impacto y regresar lo antes posible
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 88
Plan de Contingencia
En la elaboracioacuten de este plan no se puede dejar por fuera a los miembros de la organizacioacuten el cual debe estar informado y entrenado para actuar en las funciones que le hayan sido encomendadas en caso de producirse una amenaza o impacto
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 89
Continuidad Operacional
Business Continuity Planning (Plan de Continuidad de negocios)
bull Plan Baacutesico
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Coldsite)
bull Plan Intermedio
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan Alto
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan de respuesta y continuidad de negocios alternativo (sin asistencia de sistemas)
bull Stress Testing al Plan
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 90
El Stress Testing
bull Poner a prueba el planbull Revise y evalueacute
bull Respaldosbull Oportunidad integridad y funcionalidadbull Custodia y transporte
bull Cold y Hotsitebull Funcionalidad accesibilidad y compatibilidadbull Actualizacioacuten oportuna (hotsite)
bull Personalbull Roles y funcionesbull Accesibilidad (contactos y comunicaciones)
bull Simulacioacuten de cataacutestrofesbull Sin previo aviso el director encargado del BCP se presenta en el centro de computo
cronometro en mano y baja la cuchilla de electricidad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 91
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de Lehman Brothers
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el WorldTrade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehman se desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del World Trade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehman teniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 92
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de LehmanBrothers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 93
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el World Trade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehmanse desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 94
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del WorldTrade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehmanteniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 95
La Contingencia Manual la Uacuteltima Frontera
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 96
05062015 97
DATOS BAacuteSICOS
Responsable A Nivel Corporativo Responsable(s) A Nivel Regional
PROVEEDOR (ES)
Origen Responsable Insumo (s)
RESULTADOS
Normas y Procedimientos Asociados Fecha uacuteltima revisioacuten Sistemas Aplicaciones Asociadas
Proceso
CALIFICACIOacuteN DE CONTROLES DE ENTRADA
Actividad
RECOMENDACIONES
Procesamiento
Automaacutetico (A)Manual (M)
Frecuencia
Adiestramiento Proceso Sistema N y P Otros
Negocio Area Localidad
Responsable
Nombre CargoNombre Cargo
NOMBRE
ELABORADO POR
CARGO FIRMA
Calidad de Data (B) Buena (R) Regular (M) Mala Oportunidad (AT) A Tiempo (R) Retrasada Revisioacuten Aprobacioacuten (S) Si (N) NoLEYENDA
Calificacioacuten (F) Fuerte (M) Medio (B) Bajo
DescripcioacutenResponsableDescripcioacuten
Tarea
Descripcioacuten
FRECUENCIA DE LA TAREA Diaria (D) Semanal (S) Mensual (M) Trimestral (T) Anual (A) Ocasional (O)
Soportes Recepcioacuten (P) Papel (E) Electroacutenico Archivo (S) Si (N) No Soportes Enviacuteo (S) Si (N) No Backup (S) Si (N) No
Producto (s) Cliente ReceptorControl
de salida
SoportesFrecuencia
Recepcioacuten Backup
DOCUMENTOS SISTEMAS ASOCIADOS A LOS CONTROLES
CALIFICACIOacuteN DE CONTROLES (por parte del Cliente Receptor)
Revisioacuten
Aprobacioacuten
Revisioacuten
AprobacioacutenTipo de control
Procesamiento
Automaacutetico (A)Manual (M)
Control
De EntradaTipo de control
Soportes
Recepcioacuten Archivo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 98
DATOS BAacuteSICOS
TareaActividad
Proceso Responsable del Proceso
Fecha de Elaboracioacuten 2015
Accioacuten (es) Responsable (s)
OBSERVACIONES ELABORADO POR
FIRMA
NOMBRE
Plan de recuperacioacuten y Reactivacioacuten de Finanzas
Recomendaciones Acciones
La Cadena de Valor de una Organizacioacuten de Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 99
ASESORAR EN CONTROLES DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR DELEGACIONES FINANCIERAS
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
CONTROLAR SEGURIDAD SISTEMA
OPERACIONALES ADMINISTRATIVOS Y OTROS
SISTEMAS FINANCIEROS
DESARROLLAR CONTROLES
DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR Y DESARROLLAR PLAN INTEGRAL DE CONTROL ( PIC )
Asesorar en controles de procesos normas y
Procedimientos
Administrar delegaciones financieras
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
Controlar seguridad sistema
operacionales administrativos y otros
sistemas financieros
Desarrollar
controles de
procesos
normas y
procedimientos
Administrar y desarrollar plan integral de control ( PIC )
Algunas Clases de Ataques
Negacioacuten de Servicio (DoS)
Robo de contrasentildeas
Robo de identidad
Ingenieriacutea social
Defacement
FraudePirateriacutea de
softwareDumpster
divingCoacutedigo
MaliciosoIP spoofing
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 54
Algunas Clases de Ataques
EspionajeDestruccioacuten o alteracioacuten de informacioacuten
Uso de scripts de ataque
desarrolladosPhishing
Ciber -Terrorismo
War DialingWar
DrivingWalkingWar Chalking
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 55
El Caso Carbanak 1MMMUS$
La banda delictiva ciberneacutetica CARBANAK roba mil millones de doacutelares de 100 instituciones financieras en todo el mundo Kaspersky Lab la INTERPOL EUROPOL y autoridades de diferentes paiacuteses han unido sus fuerzas para dejar al descubierto el complot delictivo de un robo ciberneacutetico sin precedentes Hasta mil millones de doacutelares americanos fueron robados en cerca de dos antildeos de instituciones financieras en todo el mundo Los expertos informan que la responsabilidad del robo recae en una banda multinacional de ciberdelincuentesde Rusia Ucrania y otras partes de Europa asiacute como de China
La banda CARBANAK responsable del robo ciberneacutetico utilizoacute teacutecnicas extraiacutedas del arsenal de los ataques selectivos El complot marca el inicio de una nueva etapa en la evolucioacuten de la actividad de delincuencia ciberneacutetica donde usuarios maliciosos roban dinero directamente de los bancos y evitan concentrar sus ataques en los usuarios finales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 56
Comunicado de prensa 160215 - Karpersky
5705062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
MALWARE
El malware es un tipo de software que tiene como objetivo infiltrarse o dantildear un ordenador sistema de informacioacuten sin el consentimiento de su propietario
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 58
POPUP
bull Un pop-up es un tipo de ventana web que aparece delante de la ventana de un navegador al visitar una paacutegina web
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 59
VOLVER
ADWARE
bull Un programa de clase adware es cualquier programa que automaacuteticamente muestra publicidad web al usuario durante su instalacioacuten o durante su uso para generar lucro a sus autores
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 60
SPAM
bull Se llama spam correo basura a los mensajes no solicitados no deseados o de remitente no conocido habitualmente de tipo publicitario generalmente enviados
en grandes cantidades que perjudican al receptor
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 61
Bomba Loacutegica
Son programas informaacuteticos que se instala en un ordenador y permanece oculto hasta cumplirse una o maacutes condiciones preprogramadas para en ese momento ejecutar una accioacuten
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 62
volver
VIRUS DE MACROS
bull Es una secuencia de oacuterdenes de teclado y ratoacuten asignadas a una sola tecla Los virus de macros afectan a archivos y plantillas que los contienen hacieacutendose pasar por una macro y no actuaraacuten hasta que el archivo se abra o utilice
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 63
VOLVER
VIRUS RESIDENTES
bull Se colocan automaacuteticamente en la memoria RAM del ordenador De este modo pueden controlar e interceptar todas las operaciones llevadas a cabo por el sistema operativo infectando todos aquellos ficheros yo programas que sean ejecutados abiertos cerrados renombrados copiados etc
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 64
VIRUS DE ENLACE
bull Modifican las direcciones que permiten a nivel interno acceder a cada uno de los archivos existentes y como consecuencia no es posible localizarlos y trabajar con ellos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 65
VOLVER
VIRUS MUTANTES
bull Son virus que mutan es decir x Debido a estas mutaciones cada generacioacuten de virus es diferente a la versioacuten anterior dificultando asiacute su deteccioacuten y eliminacioacuten
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 66
VIRUS DE BOOT
bull Se activan en el momento en el que se arranca el ordenador desde un disco infectado ya sea desde el disco duro o desde una memoria USB
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 67
VOLVER
VIRUS DE PROGRAMA
bull Comuacutenmente infectan archivos con extensiones EXE COM OVL DRV BIN DLL y SYS
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 68
VOLVER
VIRUS DE SOBREESCRITURA
bull Sobre-escriben en el interior de los archivos atacados haciendo que se pierda el contenido de los mismos
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 69
Ataques de Seguridad
bull Spyware Es un software de computadoraque al instalarse intercepta o toma controlparcial de la interaccioacuten de lacomputadora y el usuario esto sin que elmismo se de cuenta Estos programaspueden recolectar diferentes tipos deinformacioacuten de los usuarios asiacute comoinstalar software adicional sin elconsentimiento de los mismos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 70
71
Herramientas de Seguridad
bull Gusano Es un programa de computadora quepuede replicarse a si mismo utiliza la red paraenviar copias de si mismo a otros nodos y lopuede hacer sin la intervencioacuten del usuario
A diferencia de los ldquovirusrdquo los gusanos nonecesitan estar amarrados a un programa y sufuncioacuten es principalmente dantildear la red (ejdesempentildeo) mientras que los virus dantildeanarchivos en computadoras
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
72
Ataques de Seguridad
bull Caballo de Troya Es una programa que seinstala bajo la creencia de que se estainstalando alguna otra cosa Los troyanosson programas muy utilizados parainstalar programas tipo ldquobackdoorsrdquo quepermiten el acceso no autorizado a lacomputadora atacada un ejemplo deprogramas tipo backdoor son losKeyloogers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
73
Ataques de Seguridad
bull DoS Denial of service- Ataques quehacen indisponible un servicio a losusuarios
bull DDoS Son conocidos como DNSBackbone Distributed Denial ofServices ndash Ataques tienen comoblanco los servidores raiacutez DNS por lotanto afectan uno de los pilares delInternet los nombres de los dominios
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
74
Ataques de Seguridad
bull Footprinting Teacutecnica utilizada para reunir informacioacuten acerca de sistemas computacionales y las entidades a las que pertenece algunos ejemplos son
- Domain queries
- Network queries
- Organizational queries
- TCP scans
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
75
Ataques de Seguridad
bull Fingerprinting Tambieacuten es conocidocomo TCPIP stack fingerprinting y esutilizado para determinar que sistemaoperativo utiliza alguacuten blanco en la redExiste dos tipos de fingerprinting
- Pasivo- Activo
NMAP es una herramienta que utilizafingerprinting activo para mapearpuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
76
Ataques de Seguridad
bull Escaneo de puertos El escaneo depuertos se basa en el FingerprintingActivo es decir transmite y recibesentildeales como ICMP TELNET SNMPdesde un blanco determinado en lared esto con el fin de obtenerinformacioacuten de dicho blanco en estecaso informacioacuten acerca de suspuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
77
Ataques de Seguridad
bull Sniffing Para llevar a cabo el sniffing esnecesario contar con un ldquopacket snifferrdquoque puede ser software instalado en unacomputadora o un dispositivoindependiente (appliance) estedispositivo es utilizado para interceptar yregistrar traacutefico que pasa a traveacutes de unared o de un segmento de la misma(Puede ser de una red ethernet owireless)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
78
Ataques de Seguridad
bull Spoofing Los ataques tipo spoofing sonaquellos en los que una persona oprograma logra hacerse pasar por otrafalsificando informacioacuten o utilizando laingenieriacutea algunos ataques tipo spoofingson los siguientes
- Falsificacioacuten de direccioacuten de email
- Falsificacioacuten de ID de llamadas telefoacutenicas
- Falsificacioacuten de sitios de internet (phishing)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
79
Ataques de Seguridad
bull Phishing Es el uso de teacutecnicas deingenieriacutea social con la finalidad deadquirir de manera fraudulentainformacioacuten confidencial comonombres de usuarios contrasentildeasinformacioacuten de tarjetas de creacutedito
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
80
Ataques de Seguridad
bull Ingenieriacutea Social Se refiere a unacoleccioacuten de teacutecnicas utilizadas paramanipular a las personas para querealicen alguna accioacuten o divulgueninformacioacuten confidencial
Algunos ingenieros sociales notablesson
- Kevin Mitnik
- Frank Abagnale
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
Ingenieriacutea Social
Es el conjunto de meacutetodos y praacutecticas usados para obtener informacioacuten de usuarios legiacutetimos y con la informacioacuten obtenida lograr acceso a sistemas protegidos siendo esta praacutectica de uso comuacuten entre piratas informaacuteticos y delincuentes computacionales
Coacutemo me afecta Al no validar las referencias o no seguir el protocolo de seguridad adecuado para divulgar contrasentildeas o cualquier otra informacioacuten sensible podemos ser coacutemplices de un crimen Meacutexico ha acordado con organismos internacionales la homologacioacuten yo adecuacioacuten de coacutedigos penales para que estos delitos sean perseguidos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 81
Ingenieriacutea Social
Coacutemo puedo saber si estoy siendo viacutectima de un ingeniero social Muy simple cuando alguien nos pide alguacuten tipo de informacioacuten privilegiada y esta persona es insistente cuando le requerimos seguir un protocolo para validar su intencioacuten es altamente probable que estemos siendo viacutectimas de un intento de robo de informacioacuten por un ingeniero socialhacker
Coacutemo puedo evitarlo Sencillo si no confiamos en la persona que nos solicita los datos (supongamos un teacutecnico de soporte de nuestro lugar de trabajo) podemos pedirle que nos deje sus datos y comunicarnos con el 10 minutos despueacutes de validar que la peticioacuten es legiacutetima es decir soacutelo sigamos los protocolos que existen en el trabajo y crear los propios en casa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 82
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra los Sistemas que Utilizan Tecnologiacuteas de Informacioacuten
bull Artiacuteculo 6 Acceso indebido
bull Artiacuteculo 7 Sabotaje o dantildeo a sistemas
bull Artiacuteculo 8 Favorecimiento culposo del sabotaje o dantildeo
bull Artiacuteculo 9 Acceso indebido o sabotaje a sistemas protegidos
bull Artiacuteculo 10 Posesioacuten de equipos o prestacioacuten de servicios de sabotaje
bull Artiacuteculo 11 Espionaje informaacutetico
bull Artiacuteculo 12 Falsificacioacuten de documentos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 83
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Propiedad
bull Artiacuteculo 13 Hurto
bull Artiacuteculo 14 Fraude
bull Artiacuteculo 15 Obtencioacuten indebida de bienes o servicios
bull Artiacuteculo 16 Manejo fraudulento de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 17 Apropiacioacuten de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 18 Provisioacuten indebida de bienes o servicios
bull Artiacuteculo 19 Posesioacuten de equipo para falsificaciones
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 84
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Privacidad de las Personas y de las Comunicaciones
bullArtiacuteculo 20 Violacioacuten de la privacidad de la data o informacioacuten de caraacutecter personal
bullArtiacuteculo 21 Violacioacuten de la privacidad de las comunicaciones
bullArtiacuteculo 22 Revelacioacuten indebida de data o informacioacuten de caraacutecter personal
De los Delitos Contra Nintildeos Nintildeas o Adolescentes
bullArtiacuteculo 23 Difusioacuten o exhibicioacuten de material pornograacutefico
bullArtiacuteculo 24 Exhibicioacuten pornograacutefica de nintildeos o adolescentes
De los Delitos Contra el Orden Econoacutemico
bullArtiacuteculo 25 Apropiacioacuten de propiedad intelectual
bullArtiacuteculo 26 Oferta engantildeosa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 85
Plan de Contingencia Continuidad Operacional
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 86
Plan de Contingencia
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 87
ldquoConjunto de Normas y Procedimientos documentadosy comunicados que tienen por objetivo minimizar los riesgos informaacuteticos mas probablesrdquo
InvolucrabullUso de herramientas
bullCumplimiento de Tareas por
parte de personas
Plan de Contingencia
Consta de tres subplanes independientes
bull Plan de Respaldo crear y conservar en un lugar seguro copias de seguridad de la informacioacuten
bull Pla de Emergencia queacute medidas tomar cuando se estaacute materializando una amenaza o cuando acaba de producirse
bull Plan de Recuperacioacuten medidas que se aplicaran cuando se ha producido un desastre El objetivo es evaluar el impacto y regresar lo antes posible
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 88
Plan de Contingencia
En la elaboracioacuten de este plan no se puede dejar por fuera a los miembros de la organizacioacuten el cual debe estar informado y entrenado para actuar en las funciones que le hayan sido encomendadas en caso de producirse una amenaza o impacto
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 89
Continuidad Operacional
Business Continuity Planning (Plan de Continuidad de negocios)
bull Plan Baacutesico
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Coldsite)
bull Plan Intermedio
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan Alto
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan de respuesta y continuidad de negocios alternativo (sin asistencia de sistemas)
bull Stress Testing al Plan
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 90
El Stress Testing
bull Poner a prueba el planbull Revise y evalueacute
bull Respaldosbull Oportunidad integridad y funcionalidadbull Custodia y transporte
bull Cold y Hotsitebull Funcionalidad accesibilidad y compatibilidadbull Actualizacioacuten oportuna (hotsite)
bull Personalbull Roles y funcionesbull Accesibilidad (contactos y comunicaciones)
bull Simulacioacuten de cataacutestrofesbull Sin previo aviso el director encargado del BCP se presenta en el centro de computo
cronometro en mano y baja la cuchilla de electricidad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 91
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de Lehman Brothers
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el WorldTrade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehman se desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del World Trade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehman teniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 92
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de LehmanBrothers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 93
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el World Trade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehmanse desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 94
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del WorldTrade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehmanteniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 95
La Contingencia Manual la Uacuteltima Frontera
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 96
05062015 97
DATOS BAacuteSICOS
Responsable A Nivel Corporativo Responsable(s) A Nivel Regional
PROVEEDOR (ES)
Origen Responsable Insumo (s)
RESULTADOS
Normas y Procedimientos Asociados Fecha uacuteltima revisioacuten Sistemas Aplicaciones Asociadas
Proceso
CALIFICACIOacuteN DE CONTROLES DE ENTRADA
Actividad
RECOMENDACIONES
Procesamiento
Automaacutetico (A)Manual (M)
Frecuencia
Adiestramiento Proceso Sistema N y P Otros
Negocio Area Localidad
Responsable
Nombre CargoNombre Cargo
NOMBRE
ELABORADO POR
CARGO FIRMA
Calidad de Data (B) Buena (R) Regular (M) Mala Oportunidad (AT) A Tiempo (R) Retrasada Revisioacuten Aprobacioacuten (S) Si (N) NoLEYENDA
Calificacioacuten (F) Fuerte (M) Medio (B) Bajo
DescripcioacutenResponsableDescripcioacuten
Tarea
Descripcioacuten
FRECUENCIA DE LA TAREA Diaria (D) Semanal (S) Mensual (M) Trimestral (T) Anual (A) Ocasional (O)
Soportes Recepcioacuten (P) Papel (E) Electroacutenico Archivo (S) Si (N) No Soportes Enviacuteo (S) Si (N) No Backup (S) Si (N) No
Producto (s) Cliente ReceptorControl
de salida
SoportesFrecuencia
Recepcioacuten Backup
DOCUMENTOS SISTEMAS ASOCIADOS A LOS CONTROLES
CALIFICACIOacuteN DE CONTROLES (por parte del Cliente Receptor)
Revisioacuten
Aprobacioacuten
Revisioacuten
AprobacioacutenTipo de control
Procesamiento
Automaacutetico (A)Manual (M)
Control
De EntradaTipo de control
Soportes
Recepcioacuten Archivo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 98
DATOS BAacuteSICOS
TareaActividad
Proceso Responsable del Proceso
Fecha de Elaboracioacuten 2015
Accioacuten (es) Responsable (s)
OBSERVACIONES ELABORADO POR
FIRMA
NOMBRE
Plan de recuperacioacuten y Reactivacioacuten de Finanzas
Recomendaciones Acciones
La Cadena de Valor de una Organizacioacuten de Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 99
ASESORAR EN CONTROLES DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR DELEGACIONES FINANCIERAS
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
CONTROLAR SEGURIDAD SISTEMA
OPERACIONALES ADMINISTRATIVOS Y OTROS
SISTEMAS FINANCIEROS
DESARROLLAR CONTROLES
DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR Y DESARROLLAR PLAN INTEGRAL DE CONTROL ( PIC )
Asesorar en controles de procesos normas y
Procedimientos
Administrar delegaciones financieras
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
Controlar seguridad sistema
operacionales administrativos y otros
sistemas financieros
Desarrollar
controles de
procesos
normas y
procedimientos
Administrar y desarrollar plan integral de control ( PIC )
Algunas Clases de Ataques
EspionajeDestruccioacuten o alteracioacuten de informacioacuten
Uso de scripts de ataque
desarrolladosPhishing
Ciber -Terrorismo
War DialingWar
DrivingWalkingWar Chalking
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 55
El Caso Carbanak 1MMMUS$
La banda delictiva ciberneacutetica CARBANAK roba mil millones de doacutelares de 100 instituciones financieras en todo el mundo Kaspersky Lab la INTERPOL EUROPOL y autoridades de diferentes paiacuteses han unido sus fuerzas para dejar al descubierto el complot delictivo de un robo ciberneacutetico sin precedentes Hasta mil millones de doacutelares americanos fueron robados en cerca de dos antildeos de instituciones financieras en todo el mundo Los expertos informan que la responsabilidad del robo recae en una banda multinacional de ciberdelincuentesde Rusia Ucrania y otras partes de Europa asiacute como de China
La banda CARBANAK responsable del robo ciberneacutetico utilizoacute teacutecnicas extraiacutedas del arsenal de los ataques selectivos El complot marca el inicio de una nueva etapa en la evolucioacuten de la actividad de delincuencia ciberneacutetica donde usuarios maliciosos roban dinero directamente de los bancos y evitan concentrar sus ataques en los usuarios finales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 56
Comunicado de prensa 160215 - Karpersky
5705062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
MALWARE
El malware es un tipo de software que tiene como objetivo infiltrarse o dantildear un ordenador sistema de informacioacuten sin el consentimiento de su propietario
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 58
POPUP
bull Un pop-up es un tipo de ventana web que aparece delante de la ventana de un navegador al visitar una paacutegina web
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 59
VOLVER
ADWARE
bull Un programa de clase adware es cualquier programa que automaacuteticamente muestra publicidad web al usuario durante su instalacioacuten o durante su uso para generar lucro a sus autores
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 60
SPAM
bull Se llama spam correo basura a los mensajes no solicitados no deseados o de remitente no conocido habitualmente de tipo publicitario generalmente enviados
en grandes cantidades que perjudican al receptor
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 61
Bomba Loacutegica
Son programas informaacuteticos que se instala en un ordenador y permanece oculto hasta cumplirse una o maacutes condiciones preprogramadas para en ese momento ejecutar una accioacuten
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 62
volver
VIRUS DE MACROS
bull Es una secuencia de oacuterdenes de teclado y ratoacuten asignadas a una sola tecla Los virus de macros afectan a archivos y plantillas que los contienen hacieacutendose pasar por una macro y no actuaraacuten hasta que el archivo se abra o utilice
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 63
VOLVER
VIRUS RESIDENTES
bull Se colocan automaacuteticamente en la memoria RAM del ordenador De este modo pueden controlar e interceptar todas las operaciones llevadas a cabo por el sistema operativo infectando todos aquellos ficheros yo programas que sean ejecutados abiertos cerrados renombrados copiados etc
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 64
VIRUS DE ENLACE
bull Modifican las direcciones que permiten a nivel interno acceder a cada uno de los archivos existentes y como consecuencia no es posible localizarlos y trabajar con ellos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 65
VOLVER
VIRUS MUTANTES
bull Son virus que mutan es decir x Debido a estas mutaciones cada generacioacuten de virus es diferente a la versioacuten anterior dificultando asiacute su deteccioacuten y eliminacioacuten
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 66
VIRUS DE BOOT
bull Se activan en el momento en el que se arranca el ordenador desde un disco infectado ya sea desde el disco duro o desde una memoria USB
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 67
VOLVER
VIRUS DE PROGRAMA
bull Comuacutenmente infectan archivos con extensiones EXE COM OVL DRV BIN DLL y SYS
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 68
VOLVER
VIRUS DE SOBREESCRITURA
bull Sobre-escriben en el interior de los archivos atacados haciendo que se pierda el contenido de los mismos
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 69
Ataques de Seguridad
bull Spyware Es un software de computadoraque al instalarse intercepta o toma controlparcial de la interaccioacuten de lacomputadora y el usuario esto sin que elmismo se de cuenta Estos programaspueden recolectar diferentes tipos deinformacioacuten de los usuarios asiacute comoinstalar software adicional sin elconsentimiento de los mismos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 70
71
Herramientas de Seguridad
bull Gusano Es un programa de computadora quepuede replicarse a si mismo utiliza la red paraenviar copias de si mismo a otros nodos y lopuede hacer sin la intervencioacuten del usuario
A diferencia de los ldquovirusrdquo los gusanos nonecesitan estar amarrados a un programa y sufuncioacuten es principalmente dantildear la red (ejdesempentildeo) mientras que los virus dantildeanarchivos en computadoras
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
72
Ataques de Seguridad
bull Caballo de Troya Es una programa que seinstala bajo la creencia de que se estainstalando alguna otra cosa Los troyanosson programas muy utilizados parainstalar programas tipo ldquobackdoorsrdquo quepermiten el acceso no autorizado a lacomputadora atacada un ejemplo deprogramas tipo backdoor son losKeyloogers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
73
Ataques de Seguridad
bull DoS Denial of service- Ataques quehacen indisponible un servicio a losusuarios
bull DDoS Son conocidos como DNSBackbone Distributed Denial ofServices ndash Ataques tienen comoblanco los servidores raiacutez DNS por lotanto afectan uno de los pilares delInternet los nombres de los dominios
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
74
Ataques de Seguridad
bull Footprinting Teacutecnica utilizada para reunir informacioacuten acerca de sistemas computacionales y las entidades a las que pertenece algunos ejemplos son
- Domain queries
- Network queries
- Organizational queries
- TCP scans
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
75
Ataques de Seguridad
bull Fingerprinting Tambieacuten es conocidocomo TCPIP stack fingerprinting y esutilizado para determinar que sistemaoperativo utiliza alguacuten blanco en la redExiste dos tipos de fingerprinting
- Pasivo- Activo
NMAP es una herramienta que utilizafingerprinting activo para mapearpuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
76
Ataques de Seguridad
bull Escaneo de puertos El escaneo depuertos se basa en el FingerprintingActivo es decir transmite y recibesentildeales como ICMP TELNET SNMPdesde un blanco determinado en lared esto con el fin de obtenerinformacioacuten de dicho blanco en estecaso informacioacuten acerca de suspuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
77
Ataques de Seguridad
bull Sniffing Para llevar a cabo el sniffing esnecesario contar con un ldquopacket snifferrdquoque puede ser software instalado en unacomputadora o un dispositivoindependiente (appliance) estedispositivo es utilizado para interceptar yregistrar traacutefico que pasa a traveacutes de unared o de un segmento de la misma(Puede ser de una red ethernet owireless)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
78
Ataques de Seguridad
bull Spoofing Los ataques tipo spoofing sonaquellos en los que una persona oprograma logra hacerse pasar por otrafalsificando informacioacuten o utilizando laingenieriacutea algunos ataques tipo spoofingson los siguientes
- Falsificacioacuten de direccioacuten de email
- Falsificacioacuten de ID de llamadas telefoacutenicas
- Falsificacioacuten de sitios de internet (phishing)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
79
Ataques de Seguridad
bull Phishing Es el uso de teacutecnicas deingenieriacutea social con la finalidad deadquirir de manera fraudulentainformacioacuten confidencial comonombres de usuarios contrasentildeasinformacioacuten de tarjetas de creacutedito
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
80
Ataques de Seguridad
bull Ingenieriacutea Social Se refiere a unacoleccioacuten de teacutecnicas utilizadas paramanipular a las personas para querealicen alguna accioacuten o divulgueninformacioacuten confidencial
Algunos ingenieros sociales notablesson
- Kevin Mitnik
- Frank Abagnale
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
Ingenieriacutea Social
Es el conjunto de meacutetodos y praacutecticas usados para obtener informacioacuten de usuarios legiacutetimos y con la informacioacuten obtenida lograr acceso a sistemas protegidos siendo esta praacutectica de uso comuacuten entre piratas informaacuteticos y delincuentes computacionales
Coacutemo me afecta Al no validar las referencias o no seguir el protocolo de seguridad adecuado para divulgar contrasentildeas o cualquier otra informacioacuten sensible podemos ser coacutemplices de un crimen Meacutexico ha acordado con organismos internacionales la homologacioacuten yo adecuacioacuten de coacutedigos penales para que estos delitos sean perseguidos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 81
Ingenieriacutea Social
Coacutemo puedo saber si estoy siendo viacutectima de un ingeniero social Muy simple cuando alguien nos pide alguacuten tipo de informacioacuten privilegiada y esta persona es insistente cuando le requerimos seguir un protocolo para validar su intencioacuten es altamente probable que estemos siendo viacutectimas de un intento de robo de informacioacuten por un ingeniero socialhacker
Coacutemo puedo evitarlo Sencillo si no confiamos en la persona que nos solicita los datos (supongamos un teacutecnico de soporte de nuestro lugar de trabajo) podemos pedirle que nos deje sus datos y comunicarnos con el 10 minutos despueacutes de validar que la peticioacuten es legiacutetima es decir soacutelo sigamos los protocolos que existen en el trabajo y crear los propios en casa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 82
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra los Sistemas que Utilizan Tecnologiacuteas de Informacioacuten
bull Artiacuteculo 6 Acceso indebido
bull Artiacuteculo 7 Sabotaje o dantildeo a sistemas
bull Artiacuteculo 8 Favorecimiento culposo del sabotaje o dantildeo
bull Artiacuteculo 9 Acceso indebido o sabotaje a sistemas protegidos
bull Artiacuteculo 10 Posesioacuten de equipos o prestacioacuten de servicios de sabotaje
bull Artiacuteculo 11 Espionaje informaacutetico
bull Artiacuteculo 12 Falsificacioacuten de documentos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 83
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Propiedad
bull Artiacuteculo 13 Hurto
bull Artiacuteculo 14 Fraude
bull Artiacuteculo 15 Obtencioacuten indebida de bienes o servicios
bull Artiacuteculo 16 Manejo fraudulento de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 17 Apropiacioacuten de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 18 Provisioacuten indebida de bienes o servicios
bull Artiacuteculo 19 Posesioacuten de equipo para falsificaciones
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 84
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Privacidad de las Personas y de las Comunicaciones
bullArtiacuteculo 20 Violacioacuten de la privacidad de la data o informacioacuten de caraacutecter personal
bullArtiacuteculo 21 Violacioacuten de la privacidad de las comunicaciones
bullArtiacuteculo 22 Revelacioacuten indebida de data o informacioacuten de caraacutecter personal
De los Delitos Contra Nintildeos Nintildeas o Adolescentes
bullArtiacuteculo 23 Difusioacuten o exhibicioacuten de material pornograacutefico
bullArtiacuteculo 24 Exhibicioacuten pornograacutefica de nintildeos o adolescentes
De los Delitos Contra el Orden Econoacutemico
bullArtiacuteculo 25 Apropiacioacuten de propiedad intelectual
bullArtiacuteculo 26 Oferta engantildeosa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 85
Plan de Contingencia Continuidad Operacional
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 86
Plan de Contingencia
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 87
ldquoConjunto de Normas y Procedimientos documentadosy comunicados que tienen por objetivo minimizar los riesgos informaacuteticos mas probablesrdquo
InvolucrabullUso de herramientas
bullCumplimiento de Tareas por
parte de personas
Plan de Contingencia
Consta de tres subplanes independientes
bull Plan de Respaldo crear y conservar en un lugar seguro copias de seguridad de la informacioacuten
bull Pla de Emergencia queacute medidas tomar cuando se estaacute materializando una amenaza o cuando acaba de producirse
bull Plan de Recuperacioacuten medidas que se aplicaran cuando se ha producido un desastre El objetivo es evaluar el impacto y regresar lo antes posible
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 88
Plan de Contingencia
En la elaboracioacuten de este plan no se puede dejar por fuera a los miembros de la organizacioacuten el cual debe estar informado y entrenado para actuar en las funciones que le hayan sido encomendadas en caso de producirse una amenaza o impacto
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 89
Continuidad Operacional
Business Continuity Planning (Plan de Continuidad de negocios)
bull Plan Baacutesico
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Coldsite)
bull Plan Intermedio
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan Alto
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan de respuesta y continuidad de negocios alternativo (sin asistencia de sistemas)
bull Stress Testing al Plan
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 90
El Stress Testing
bull Poner a prueba el planbull Revise y evalueacute
bull Respaldosbull Oportunidad integridad y funcionalidadbull Custodia y transporte
bull Cold y Hotsitebull Funcionalidad accesibilidad y compatibilidadbull Actualizacioacuten oportuna (hotsite)
bull Personalbull Roles y funcionesbull Accesibilidad (contactos y comunicaciones)
bull Simulacioacuten de cataacutestrofesbull Sin previo aviso el director encargado del BCP se presenta en el centro de computo
cronometro en mano y baja la cuchilla de electricidad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 91
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de Lehman Brothers
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el WorldTrade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehman se desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del World Trade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehman teniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 92
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de LehmanBrothers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 93
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el World Trade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehmanse desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 94
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del WorldTrade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehmanteniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 95
La Contingencia Manual la Uacuteltima Frontera
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 96
05062015 97
DATOS BAacuteSICOS
Responsable A Nivel Corporativo Responsable(s) A Nivel Regional
PROVEEDOR (ES)
Origen Responsable Insumo (s)
RESULTADOS
Normas y Procedimientos Asociados Fecha uacuteltima revisioacuten Sistemas Aplicaciones Asociadas
Proceso
CALIFICACIOacuteN DE CONTROLES DE ENTRADA
Actividad
RECOMENDACIONES
Procesamiento
Automaacutetico (A)Manual (M)
Frecuencia
Adiestramiento Proceso Sistema N y P Otros
Negocio Area Localidad
Responsable
Nombre CargoNombre Cargo
NOMBRE
ELABORADO POR
CARGO FIRMA
Calidad de Data (B) Buena (R) Regular (M) Mala Oportunidad (AT) A Tiempo (R) Retrasada Revisioacuten Aprobacioacuten (S) Si (N) NoLEYENDA
Calificacioacuten (F) Fuerte (M) Medio (B) Bajo
DescripcioacutenResponsableDescripcioacuten
Tarea
Descripcioacuten
FRECUENCIA DE LA TAREA Diaria (D) Semanal (S) Mensual (M) Trimestral (T) Anual (A) Ocasional (O)
Soportes Recepcioacuten (P) Papel (E) Electroacutenico Archivo (S) Si (N) No Soportes Enviacuteo (S) Si (N) No Backup (S) Si (N) No
Producto (s) Cliente ReceptorControl
de salida
SoportesFrecuencia
Recepcioacuten Backup
DOCUMENTOS SISTEMAS ASOCIADOS A LOS CONTROLES
CALIFICACIOacuteN DE CONTROLES (por parte del Cliente Receptor)
Revisioacuten
Aprobacioacuten
Revisioacuten
AprobacioacutenTipo de control
Procesamiento
Automaacutetico (A)Manual (M)
Control
De EntradaTipo de control
Soportes
Recepcioacuten Archivo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 98
DATOS BAacuteSICOS
TareaActividad
Proceso Responsable del Proceso
Fecha de Elaboracioacuten 2015
Accioacuten (es) Responsable (s)
OBSERVACIONES ELABORADO POR
FIRMA
NOMBRE
Plan de recuperacioacuten y Reactivacioacuten de Finanzas
Recomendaciones Acciones
La Cadena de Valor de una Organizacioacuten de Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 99
ASESORAR EN CONTROLES DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR DELEGACIONES FINANCIERAS
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
CONTROLAR SEGURIDAD SISTEMA
OPERACIONALES ADMINISTRATIVOS Y OTROS
SISTEMAS FINANCIEROS
DESARROLLAR CONTROLES
DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR Y DESARROLLAR PLAN INTEGRAL DE CONTROL ( PIC )
Asesorar en controles de procesos normas y
Procedimientos
Administrar delegaciones financieras
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
Controlar seguridad sistema
operacionales administrativos y otros
sistemas financieros
Desarrollar
controles de
procesos
normas y
procedimientos
Administrar y desarrollar plan integral de control ( PIC )
El Caso Carbanak 1MMMUS$
La banda delictiva ciberneacutetica CARBANAK roba mil millones de doacutelares de 100 instituciones financieras en todo el mundo Kaspersky Lab la INTERPOL EUROPOL y autoridades de diferentes paiacuteses han unido sus fuerzas para dejar al descubierto el complot delictivo de un robo ciberneacutetico sin precedentes Hasta mil millones de doacutelares americanos fueron robados en cerca de dos antildeos de instituciones financieras en todo el mundo Los expertos informan que la responsabilidad del robo recae en una banda multinacional de ciberdelincuentesde Rusia Ucrania y otras partes de Europa asiacute como de China
La banda CARBANAK responsable del robo ciberneacutetico utilizoacute teacutecnicas extraiacutedas del arsenal de los ataques selectivos El complot marca el inicio de una nueva etapa en la evolucioacuten de la actividad de delincuencia ciberneacutetica donde usuarios maliciosos roban dinero directamente de los bancos y evitan concentrar sus ataques en los usuarios finales
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 56
Comunicado de prensa 160215 - Karpersky
5705062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
MALWARE
El malware es un tipo de software que tiene como objetivo infiltrarse o dantildear un ordenador sistema de informacioacuten sin el consentimiento de su propietario
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 58
POPUP
bull Un pop-up es un tipo de ventana web que aparece delante de la ventana de un navegador al visitar una paacutegina web
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 59
VOLVER
ADWARE
bull Un programa de clase adware es cualquier programa que automaacuteticamente muestra publicidad web al usuario durante su instalacioacuten o durante su uso para generar lucro a sus autores
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 60
SPAM
bull Se llama spam correo basura a los mensajes no solicitados no deseados o de remitente no conocido habitualmente de tipo publicitario generalmente enviados
en grandes cantidades que perjudican al receptor
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 61
Bomba Loacutegica
Son programas informaacuteticos que se instala en un ordenador y permanece oculto hasta cumplirse una o maacutes condiciones preprogramadas para en ese momento ejecutar una accioacuten
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 62
volver
VIRUS DE MACROS
bull Es una secuencia de oacuterdenes de teclado y ratoacuten asignadas a una sola tecla Los virus de macros afectan a archivos y plantillas que los contienen hacieacutendose pasar por una macro y no actuaraacuten hasta que el archivo se abra o utilice
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 63
VOLVER
VIRUS RESIDENTES
bull Se colocan automaacuteticamente en la memoria RAM del ordenador De este modo pueden controlar e interceptar todas las operaciones llevadas a cabo por el sistema operativo infectando todos aquellos ficheros yo programas que sean ejecutados abiertos cerrados renombrados copiados etc
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 64
VIRUS DE ENLACE
bull Modifican las direcciones que permiten a nivel interno acceder a cada uno de los archivos existentes y como consecuencia no es posible localizarlos y trabajar con ellos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 65
VOLVER
VIRUS MUTANTES
bull Son virus que mutan es decir x Debido a estas mutaciones cada generacioacuten de virus es diferente a la versioacuten anterior dificultando asiacute su deteccioacuten y eliminacioacuten
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 66
VIRUS DE BOOT
bull Se activan en el momento en el que se arranca el ordenador desde un disco infectado ya sea desde el disco duro o desde una memoria USB
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 67
VOLVER
VIRUS DE PROGRAMA
bull Comuacutenmente infectan archivos con extensiones EXE COM OVL DRV BIN DLL y SYS
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 68
VOLVER
VIRUS DE SOBREESCRITURA
bull Sobre-escriben en el interior de los archivos atacados haciendo que se pierda el contenido de los mismos
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 69
Ataques de Seguridad
bull Spyware Es un software de computadoraque al instalarse intercepta o toma controlparcial de la interaccioacuten de lacomputadora y el usuario esto sin que elmismo se de cuenta Estos programaspueden recolectar diferentes tipos deinformacioacuten de los usuarios asiacute comoinstalar software adicional sin elconsentimiento de los mismos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 70
71
Herramientas de Seguridad
bull Gusano Es un programa de computadora quepuede replicarse a si mismo utiliza la red paraenviar copias de si mismo a otros nodos y lopuede hacer sin la intervencioacuten del usuario
A diferencia de los ldquovirusrdquo los gusanos nonecesitan estar amarrados a un programa y sufuncioacuten es principalmente dantildear la red (ejdesempentildeo) mientras que los virus dantildeanarchivos en computadoras
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
72
Ataques de Seguridad
bull Caballo de Troya Es una programa que seinstala bajo la creencia de que se estainstalando alguna otra cosa Los troyanosson programas muy utilizados parainstalar programas tipo ldquobackdoorsrdquo quepermiten el acceso no autorizado a lacomputadora atacada un ejemplo deprogramas tipo backdoor son losKeyloogers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
73
Ataques de Seguridad
bull DoS Denial of service- Ataques quehacen indisponible un servicio a losusuarios
bull DDoS Son conocidos como DNSBackbone Distributed Denial ofServices ndash Ataques tienen comoblanco los servidores raiacutez DNS por lotanto afectan uno de los pilares delInternet los nombres de los dominios
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
74
Ataques de Seguridad
bull Footprinting Teacutecnica utilizada para reunir informacioacuten acerca de sistemas computacionales y las entidades a las que pertenece algunos ejemplos son
- Domain queries
- Network queries
- Organizational queries
- TCP scans
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
75
Ataques de Seguridad
bull Fingerprinting Tambieacuten es conocidocomo TCPIP stack fingerprinting y esutilizado para determinar que sistemaoperativo utiliza alguacuten blanco en la redExiste dos tipos de fingerprinting
- Pasivo- Activo
NMAP es una herramienta que utilizafingerprinting activo para mapearpuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
76
Ataques de Seguridad
bull Escaneo de puertos El escaneo depuertos se basa en el FingerprintingActivo es decir transmite y recibesentildeales como ICMP TELNET SNMPdesde un blanco determinado en lared esto con el fin de obtenerinformacioacuten de dicho blanco en estecaso informacioacuten acerca de suspuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
77
Ataques de Seguridad
bull Sniffing Para llevar a cabo el sniffing esnecesario contar con un ldquopacket snifferrdquoque puede ser software instalado en unacomputadora o un dispositivoindependiente (appliance) estedispositivo es utilizado para interceptar yregistrar traacutefico que pasa a traveacutes de unared o de un segmento de la misma(Puede ser de una red ethernet owireless)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
78
Ataques de Seguridad
bull Spoofing Los ataques tipo spoofing sonaquellos en los que una persona oprograma logra hacerse pasar por otrafalsificando informacioacuten o utilizando laingenieriacutea algunos ataques tipo spoofingson los siguientes
- Falsificacioacuten de direccioacuten de email
- Falsificacioacuten de ID de llamadas telefoacutenicas
- Falsificacioacuten de sitios de internet (phishing)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
79
Ataques de Seguridad
bull Phishing Es el uso de teacutecnicas deingenieriacutea social con la finalidad deadquirir de manera fraudulentainformacioacuten confidencial comonombres de usuarios contrasentildeasinformacioacuten de tarjetas de creacutedito
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
80
Ataques de Seguridad
bull Ingenieriacutea Social Se refiere a unacoleccioacuten de teacutecnicas utilizadas paramanipular a las personas para querealicen alguna accioacuten o divulgueninformacioacuten confidencial
Algunos ingenieros sociales notablesson
- Kevin Mitnik
- Frank Abagnale
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
Ingenieriacutea Social
Es el conjunto de meacutetodos y praacutecticas usados para obtener informacioacuten de usuarios legiacutetimos y con la informacioacuten obtenida lograr acceso a sistemas protegidos siendo esta praacutectica de uso comuacuten entre piratas informaacuteticos y delincuentes computacionales
Coacutemo me afecta Al no validar las referencias o no seguir el protocolo de seguridad adecuado para divulgar contrasentildeas o cualquier otra informacioacuten sensible podemos ser coacutemplices de un crimen Meacutexico ha acordado con organismos internacionales la homologacioacuten yo adecuacioacuten de coacutedigos penales para que estos delitos sean perseguidos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 81
Ingenieriacutea Social
Coacutemo puedo saber si estoy siendo viacutectima de un ingeniero social Muy simple cuando alguien nos pide alguacuten tipo de informacioacuten privilegiada y esta persona es insistente cuando le requerimos seguir un protocolo para validar su intencioacuten es altamente probable que estemos siendo viacutectimas de un intento de robo de informacioacuten por un ingeniero socialhacker
Coacutemo puedo evitarlo Sencillo si no confiamos en la persona que nos solicita los datos (supongamos un teacutecnico de soporte de nuestro lugar de trabajo) podemos pedirle que nos deje sus datos y comunicarnos con el 10 minutos despueacutes de validar que la peticioacuten es legiacutetima es decir soacutelo sigamos los protocolos que existen en el trabajo y crear los propios en casa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 82
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra los Sistemas que Utilizan Tecnologiacuteas de Informacioacuten
bull Artiacuteculo 6 Acceso indebido
bull Artiacuteculo 7 Sabotaje o dantildeo a sistemas
bull Artiacuteculo 8 Favorecimiento culposo del sabotaje o dantildeo
bull Artiacuteculo 9 Acceso indebido o sabotaje a sistemas protegidos
bull Artiacuteculo 10 Posesioacuten de equipos o prestacioacuten de servicios de sabotaje
bull Artiacuteculo 11 Espionaje informaacutetico
bull Artiacuteculo 12 Falsificacioacuten de documentos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 83
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Propiedad
bull Artiacuteculo 13 Hurto
bull Artiacuteculo 14 Fraude
bull Artiacuteculo 15 Obtencioacuten indebida de bienes o servicios
bull Artiacuteculo 16 Manejo fraudulento de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 17 Apropiacioacuten de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 18 Provisioacuten indebida de bienes o servicios
bull Artiacuteculo 19 Posesioacuten de equipo para falsificaciones
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 84
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Privacidad de las Personas y de las Comunicaciones
bullArtiacuteculo 20 Violacioacuten de la privacidad de la data o informacioacuten de caraacutecter personal
bullArtiacuteculo 21 Violacioacuten de la privacidad de las comunicaciones
bullArtiacuteculo 22 Revelacioacuten indebida de data o informacioacuten de caraacutecter personal
De los Delitos Contra Nintildeos Nintildeas o Adolescentes
bullArtiacuteculo 23 Difusioacuten o exhibicioacuten de material pornograacutefico
bullArtiacuteculo 24 Exhibicioacuten pornograacutefica de nintildeos o adolescentes
De los Delitos Contra el Orden Econoacutemico
bullArtiacuteculo 25 Apropiacioacuten de propiedad intelectual
bullArtiacuteculo 26 Oferta engantildeosa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 85
Plan de Contingencia Continuidad Operacional
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 86
Plan de Contingencia
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 87
ldquoConjunto de Normas y Procedimientos documentadosy comunicados que tienen por objetivo minimizar los riesgos informaacuteticos mas probablesrdquo
InvolucrabullUso de herramientas
bullCumplimiento de Tareas por
parte de personas
Plan de Contingencia
Consta de tres subplanes independientes
bull Plan de Respaldo crear y conservar en un lugar seguro copias de seguridad de la informacioacuten
bull Pla de Emergencia queacute medidas tomar cuando se estaacute materializando una amenaza o cuando acaba de producirse
bull Plan de Recuperacioacuten medidas que se aplicaran cuando se ha producido un desastre El objetivo es evaluar el impacto y regresar lo antes posible
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 88
Plan de Contingencia
En la elaboracioacuten de este plan no se puede dejar por fuera a los miembros de la organizacioacuten el cual debe estar informado y entrenado para actuar en las funciones que le hayan sido encomendadas en caso de producirse una amenaza o impacto
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 89
Continuidad Operacional
Business Continuity Planning (Plan de Continuidad de negocios)
bull Plan Baacutesico
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Coldsite)
bull Plan Intermedio
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan Alto
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan de respuesta y continuidad de negocios alternativo (sin asistencia de sistemas)
bull Stress Testing al Plan
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 90
El Stress Testing
bull Poner a prueba el planbull Revise y evalueacute
bull Respaldosbull Oportunidad integridad y funcionalidadbull Custodia y transporte
bull Cold y Hotsitebull Funcionalidad accesibilidad y compatibilidadbull Actualizacioacuten oportuna (hotsite)
bull Personalbull Roles y funcionesbull Accesibilidad (contactos y comunicaciones)
bull Simulacioacuten de cataacutestrofesbull Sin previo aviso el director encargado del BCP se presenta en el centro de computo
cronometro en mano y baja la cuchilla de electricidad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 91
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de Lehman Brothers
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el WorldTrade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehman se desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del World Trade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehman teniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 92
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de LehmanBrothers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 93
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el World Trade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehmanse desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 94
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del WorldTrade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehmanteniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 95
La Contingencia Manual la Uacuteltima Frontera
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 96
05062015 97
DATOS BAacuteSICOS
Responsable A Nivel Corporativo Responsable(s) A Nivel Regional
PROVEEDOR (ES)
Origen Responsable Insumo (s)
RESULTADOS
Normas y Procedimientos Asociados Fecha uacuteltima revisioacuten Sistemas Aplicaciones Asociadas
Proceso
CALIFICACIOacuteN DE CONTROLES DE ENTRADA
Actividad
RECOMENDACIONES
Procesamiento
Automaacutetico (A)Manual (M)
Frecuencia
Adiestramiento Proceso Sistema N y P Otros
Negocio Area Localidad
Responsable
Nombre CargoNombre Cargo
NOMBRE
ELABORADO POR
CARGO FIRMA
Calidad de Data (B) Buena (R) Regular (M) Mala Oportunidad (AT) A Tiempo (R) Retrasada Revisioacuten Aprobacioacuten (S) Si (N) NoLEYENDA
Calificacioacuten (F) Fuerte (M) Medio (B) Bajo
DescripcioacutenResponsableDescripcioacuten
Tarea
Descripcioacuten
FRECUENCIA DE LA TAREA Diaria (D) Semanal (S) Mensual (M) Trimestral (T) Anual (A) Ocasional (O)
Soportes Recepcioacuten (P) Papel (E) Electroacutenico Archivo (S) Si (N) No Soportes Enviacuteo (S) Si (N) No Backup (S) Si (N) No
Producto (s) Cliente ReceptorControl
de salida
SoportesFrecuencia
Recepcioacuten Backup
DOCUMENTOS SISTEMAS ASOCIADOS A LOS CONTROLES
CALIFICACIOacuteN DE CONTROLES (por parte del Cliente Receptor)
Revisioacuten
Aprobacioacuten
Revisioacuten
AprobacioacutenTipo de control
Procesamiento
Automaacutetico (A)Manual (M)
Control
De EntradaTipo de control
Soportes
Recepcioacuten Archivo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 98
DATOS BAacuteSICOS
TareaActividad
Proceso Responsable del Proceso
Fecha de Elaboracioacuten 2015
Accioacuten (es) Responsable (s)
OBSERVACIONES ELABORADO POR
FIRMA
NOMBRE
Plan de recuperacioacuten y Reactivacioacuten de Finanzas
Recomendaciones Acciones
La Cadena de Valor de una Organizacioacuten de Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 99
ASESORAR EN CONTROLES DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR DELEGACIONES FINANCIERAS
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
CONTROLAR SEGURIDAD SISTEMA
OPERACIONALES ADMINISTRATIVOS Y OTROS
SISTEMAS FINANCIEROS
DESARROLLAR CONTROLES
DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR Y DESARROLLAR PLAN INTEGRAL DE CONTROL ( PIC )
Asesorar en controles de procesos normas y
Procedimientos
Administrar delegaciones financieras
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
Controlar seguridad sistema
operacionales administrativos y otros
sistemas financieros
Desarrollar
controles de
procesos
normas y
procedimientos
Administrar y desarrollar plan integral de control ( PIC )
5705062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
MALWARE
El malware es un tipo de software que tiene como objetivo infiltrarse o dantildear un ordenador sistema de informacioacuten sin el consentimiento de su propietario
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 58
POPUP
bull Un pop-up es un tipo de ventana web que aparece delante de la ventana de un navegador al visitar una paacutegina web
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 59
VOLVER
ADWARE
bull Un programa de clase adware es cualquier programa que automaacuteticamente muestra publicidad web al usuario durante su instalacioacuten o durante su uso para generar lucro a sus autores
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 60
SPAM
bull Se llama spam correo basura a los mensajes no solicitados no deseados o de remitente no conocido habitualmente de tipo publicitario generalmente enviados
en grandes cantidades que perjudican al receptor
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 61
Bomba Loacutegica
Son programas informaacuteticos que se instala en un ordenador y permanece oculto hasta cumplirse una o maacutes condiciones preprogramadas para en ese momento ejecutar una accioacuten
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 62
volver
VIRUS DE MACROS
bull Es una secuencia de oacuterdenes de teclado y ratoacuten asignadas a una sola tecla Los virus de macros afectan a archivos y plantillas que los contienen hacieacutendose pasar por una macro y no actuaraacuten hasta que el archivo se abra o utilice
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 63
VOLVER
VIRUS RESIDENTES
bull Se colocan automaacuteticamente en la memoria RAM del ordenador De este modo pueden controlar e interceptar todas las operaciones llevadas a cabo por el sistema operativo infectando todos aquellos ficheros yo programas que sean ejecutados abiertos cerrados renombrados copiados etc
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 64
VIRUS DE ENLACE
bull Modifican las direcciones que permiten a nivel interno acceder a cada uno de los archivos existentes y como consecuencia no es posible localizarlos y trabajar con ellos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 65
VOLVER
VIRUS MUTANTES
bull Son virus que mutan es decir x Debido a estas mutaciones cada generacioacuten de virus es diferente a la versioacuten anterior dificultando asiacute su deteccioacuten y eliminacioacuten
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 66
VIRUS DE BOOT
bull Se activan en el momento en el que se arranca el ordenador desde un disco infectado ya sea desde el disco duro o desde una memoria USB
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 67
VOLVER
VIRUS DE PROGRAMA
bull Comuacutenmente infectan archivos con extensiones EXE COM OVL DRV BIN DLL y SYS
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 68
VOLVER
VIRUS DE SOBREESCRITURA
bull Sobre-escriben en el interior de los archivos atacados haciendo que se pierda el contenido de los mismos
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 69
Ataques de Seguridad
bull Spyware Es un software de computadoraque al instalarse intercepta o toma controlparcial de la interaccioacuten de lacomputadora y el usuario esto sin que elmismo se de cuenta Estos programaspueden recolectar diferentes tipos deinformacioacuten de los usuarios asiacute comoinstalar software adicional sin elconsentimiento de los mismos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 70
71
Herramientas de Seguridad
bull Gusano Es un programa de computadora quepuede replicarse a si mismo utiliza la red paraenviar copias de si mismo a otros nodos y lopuede hacer sin la intervencioacuten del usuario
A diferencia de los ldquovirusrdquo los gusanos nonecesitan estar amarrados a un programa y sufuncioacuten es principalmente dantildear la red (ejdesempentildeo) mientras que los virus dantildeanarchivos en computadoras
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
72
Ataques de Seguridad
bull Caballo de Troya Es una programa que seinstala bajo la creencia de que se estainstalando alguna otra cosa Los troyanosson programas muy utilizados parainstalar programas tipo ldquobackdoorsrdquo quepermiten el acceso no autorizado a lacomputadora atacada un ejemplo deprogramas tipo backdoor son losKeyloogers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
73
Ataques de Seguridad
bull DoS Denial of service- Ataques quehacen indisponible un servicio a losusuarios
bull DDoS Son conocidos como DNSBackbone Distributed Denial ofServices ndash Ataques tienen comoblanco los servidores raiacutez DNS por lotanto afectan uno de los pilares delInternet los nombres de los dominios
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
74
Ataques de Seguridad
bull Footprinting Teacutecnica utilizada para reunir informacioacuten acerca de sistemas computacionales y las entidades a las que pertenece algunos ejemplos son
- Domain queries
- Network queries
- Organizational queries
- TCP scans
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
75
Ataques de Seguridad
bull Fingerprinting Tambieacuten es conocidocomo TCPIP stack fingerprinting y esutilizado para determinar que sistemaoperativo utiliza alguacuten blanco en la redExiste dos tipos de fingerprinting
- Pasivo- Activo
NMAP es una herramienta que utilizafingerprinting activo para mapearpuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
76
Ataques de Seguridad
bull Escaneo de puertos El escaneo depuertos se basa en el FingerprintingActivo es decir transmite y recibesentildeales como ICMP TELNET SNMPdesde un blanco determinado en lared esto con el fin de obtenerinformacioacuten de dicho blanco en estecaso informacioacuten acerca de suspuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
77
Ataques de Seguridad
bull Sniffing Para llevar a cabo el sniffing esnecesario contar con un ldquopacket snifferrdquoque puede ser software instalado en unacomputadora o un dispositivoindependiente (appliance) estedispositivo es utilizado para interceptar yregistrar traacutefico que pasa a traveacutes de unared o de un segmento de la misma(Puede ser de una red ethernet owireless)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
78
Ataques de Seguridad
bull Spoofing Los ataques tipo spoofing sonaquellos en los que una persona oprograma logra hacerse pasar por otrafalsificando informacioacuten o utilizando laingenieriacutea algunos ataques tipo spoofingson los siguientes
- Falsificacioacuten de direccioacuten de email
- Falsificacioacuten de ID de llamadas telefoacutenicas
- Falsificacioacuten de sitios de internet (phishing)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
79
Ataques de Seguridad
bull Phishing Es el uso de teacutecnicas deingenieriacutea social con la finalidad deadquirir de manera fraudulentainformacioacuten confidencial comonombres de usuarios contrasentildeasinformacioacuten de tarjetas de creacutedito
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
80
Ataques de Seguridad
bull Ingenieriacutea Social Se refiere a unacoleccioacuten de teacutecnicas utilizadas paramanipular a las personas para querealicen alguna accioacuten o divulgueninformacioacuten confidencial
Algunos ingenieros sociales notablesson
- Kevin Mitnik
- Frank Abagnale
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
Ingenieriacutea Social
Es el conjunto de meacutetodos y praacutecticas usados para obtener informacioacuten de usuarios legiacutetimos y con la informacioacuten obtenida lograr acceso a sistemas protegidos siendo esta praacutectica de uso comuacuten entre piratas informaacuteticos y delincuentes computacionales
Coacutemo me afecta Al no validar las referencias o no seguir el protocolo de seguridad adecuado para divulgar contrasentildeas o cualquier otra informacioacuten sensible podemos ser coacutemplices de un crimen Meacutexico ha acordado con organismos internacionales la homologacioacuten yo adecuacioacuten de coacutedigos penales para que estos delitos sean perseguidos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 81
Ingenieriacutea Social
Coacutemo puedo saber si estoy siendo viacutectima de un ingeniero social Muy simple cuando alguien nos pide alguacuten tipo de informacioacuten privilegiada y esta persona es insistente cuando le requerimos seguir un protocolo para validar su intencioacuten es altamente probable que estemos siendo viacutectimas de un intento de robo de informacioacuten por un ingeniero socialhacker
Coacutemo puedo evitarlo Sencillo si no confiamos en la persona que nos solicita los datos (supongamos un teacutecnico de soporte de nuestro lugar de trabajo) podemos pedirle que nos deje sus datos y comunicarnos con el 10 minutos despueacutes de validar que la peticioacuten es legiacutetima es decir soacutelo sigamos los protocolos que existen en el trabajo y crear los propios en casa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 82
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra los Sistemas que Utilizan Tecnologiacuteas de Informacioacuten
bull Artiacuteculo 6 Acceso indebido
bull Artiacuteculo 7 Sabotaje o dantildeo a sistemas
bull Artiacuteculo 8 Favorecimiento culposo del sabotaje o dantildeo
bull Artiacuteculo 9 Acceso indebido o sabotaje a sistemas protegidos
bull Artiacuteculo 10 Posesioacuten de equipos o prestacioacuten de servicios de sabotaje
bull Artiacuteculo 11 Espionaje informaacutetico
bull Artiacuteculo 12 Falsificacioacuten de documentos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 83
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Propiedad
bull Artiacuteculo 13 Hurto
bull Artiacuteculo 14 Fraude
bull Artiacuteculo 15 Obtencioacuten indebida de bienes o servicios
bull Artiacuteculo 16 Manejo fraudulento de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 17 Apropiacioacuten de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 18 Provisioacuten indebida de bienes o servicios
bull Artiacuteculo 19 Posesioacuten de equipo para falsificaciones
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 84
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Privacidad de las Personas y de las Comunicaciones
bullArtiacuteculo 20 Violacioacuten de la privacidad de la data o informacioacuten de caraacutecter personal
bullArtiacuteculo 21 Violacioacuten de la privacidad de las comunicaciones
bullArtiacuteculo 22 Revelacioacuten indebida de data o informacioacuten de caraacutecter personal
De los Delitos Contra Nintildeos Nintildeas o Adolescentes
bullArtiacuteculo 23 Difusioacuten o exhibicioacuten de material pornograacutefico
bullArtiacuteculo 24 Exhibicioacuten pornograacutefica de nintildeos o adolescentes
De los Delitos Contra el Orden Econoacutemico
bullArtiacuteculo 25 Apropiacioacuten de propiedad intelectual
bullArtiacuteculo 26 Oferta engantildeosa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 85
Plan de Contingencia Continuidad Operacional
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 86
Plan de Contingencia
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 87
ldquoConjunto de Normas y Procedimientos documentadosy comunicados que tienen por objetivo minimizar los riesgos informaacuteticos mas probablesrdquo
InvolucrabullUso de herramientas
bullCumplimiento de Tareas por
parte de personas
Plan de Contingencia
Consta de tres subplanes independientes
bull Plan de Respaldo crear y conservar en un lugar seguro copias de seguridad de la informacioacuten
bull Pla de Emergencia queacute medidas tomar cuando se estaacute materializando una amenaza o cuando acaba de producirse
bull Plan de Recuperacioacuten medidas que se aplicaran cuando se ha producido un desastre El objetivo es evaluar el impacto y regresar lo antes posible
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 88
Plan de Contingencia
En la elaboracioacuten de este plan no se puede dejar por fuera a los miembros de la organizacioacuten el cual debe estar informado y entrenado para actuar en las funciones que le hayan sido encomendadas en caso de producirse una amenaza o impacto
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 89
Continuidad Operacional
Business Continuity Planning (Plan de Continuidad de negocios)
bull Plan Baacutesico
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Coldsite)
bull Plan Intermedio
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan Alto
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan de respuesta y continuidad de negocios alternativo (sin asistencia de sistemas)
bull Stress Testing al Plan
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 90
El Stress Testing
bull Poner a prueba el planbull Revise y evalueacute
bull Respaldosbull Oportunidad integridad y funcionalidadbull Custodia y transporte
bull Cold y Hotsitebull Funcionalidad accesibilidad y compatibilidadbull Actualizacioacuten oportuna (hotsite)
bull Personalbull Roles y funcionesbull Accesibilidad (contactos y comunicaciones)
bull Simulacioacuten de cataacutestrofesbull Sin previo aviso el director encargado del BCP se presenta en el centro de computo
cronometro en mano y baja la cuchilla de electricidad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 91
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de Lehman Brothers
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el WorldTrade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehman se desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del World Trade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehman teniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 92
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de LehmanBrothers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 93
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el World Trade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehmanse desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 94
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del WorldTrade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehmanteniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 95
La Contingencia Manual la Uacuteltima Frontera
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 96
05062015 97
DATOS BAacuteSICOS
Responsable A Nivel Corporativo Responsable(s) A Nivel Regional
PROVEEDOR (ES)
Origen Responsable Insumo (s)
RESULTADOS
Normas y Procedimientos Asociados Fecha uacuteltima revisioacuten Sistemas Aplicaciones Asociadas
Proceso
CALIFICACIOacuteN DE CONTROLES DE ENTRADA
Actividad
RECOMENDACIONES
Procesamiento
Automaacutetico (A)Manual (M)
Frecuencia
Adiestramiento Proceso Sistema N y P Otros
Negocio Area Localidad
Responsable
Nombre CargoNombre Cargo
NOMBRE
ELABORADO POR
CARGO FIRMA
Calidad de Data (B) Buena (R) Regular (M) Mala Oportunidad (AT) A Tiempo (R) Retrasada Revisioacuten Aprobacioacuten (S) Si (N) NoLEYENDA
Calificacioacuten (F) Fuerte (M) Medio (B) Bajo
DescripcioacutenResponsableDescripcioacuten
Tarea
Descripcioacuten
FRECUENCIA DE LA TAREA Diaria (D) Semanal (S) Mensual (M) Trimestral (T) Anual (A) Ocasional (O)
Soportes Recepcioacuten (P) Papel (E) Electroacutenico Archivo (S) Si (N) No Soportes Enviacuteo (S) Si (N) No Backup (S) Si (N) No
Producto (s) Cliente ReceptorControl
de salida
SoportesFrecuencia
Recepcioacuten Backup
DOCUMENTOS SISTEMAS ASOCIADOS A LOS CONTROLES
CALIFICACIOacuteN DE CONTROLES (por parte del Cliente Receptor)
Revisioacuten
Aprobacioacuten
Revisioacuten
AprobacioacutenTipo de control
Procesamiento
Automaacutetico (A)Manual (M)
Control
De EntradaTipo de control
Soportes
Recepcioacuten Archivo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 98
DATOS BAacuteSICOS
TareaActividad
Proceso Responsable del Proceso
Fecha de Elaboracioacuten 2015
Accioacuten (es) Responsable (s)
OBSERVACIONES ELABORADO POR
FIRMA
NOMBRE
Plan de recuperacioacuten y Reactivacioacuten de Finanzas
Recomendaciones Acciones
La Cadena de Valor de una Organizacioacuten de Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 99
ASESORAR EN CONTROLES DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR DELEGACIONES FINANCIERAS
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
CONTROLAR SEGURIDAD SISTEMA
OPERACIONALES ADMINISTRATIVOS Y OTROS
SISTEMAS FINANCIEROS
DESARROLLAR CONTROLES
DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR Y DESARROLLAR PLAN INTEGRAL DE CONTROL ( PIC )
Asesorar en controles de procesos normas y
Procedimientos
Administrar delegaciones financieras
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
Controlar seguridad sistema
operacionales administrativos y otros
sistemas financieros
Desarrollar
controles de
procesos
normas y
procedimientos
Administrar y desarrollar plan integral de control ( PIC )
MALWARE
El malware es un tipo de software que tiene como objetivo infiltrarse o dantildear un ordenador sistema de informacioacuten sin el consentimiento de su propietario
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 58
POPUP
bull Un pop-up es un tipo de ventana web que aparece delante de la ventana de un navegador al visitar una paacutegina web
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 59
VOLVER
ADWARE
bull Un programa de clase adware es cualquier programa que automaacuteticamente muestra publicidad web al usuario durante su instalacioacuten o durante su uso para generar lucro a sus autores
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 60
SPAM
bull Se llama spam correo basura a los mensajes no solicitados no deseados o de remitente no conocido habitualmente de tipo publicitario generalmente enviados
en grandes cantidades que perjudican al receptor
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 61
Bomba Loacutegica
Son programas informaacuteticos que se instala en un ordenador y permanece oculto hasta cumplirse una o maacutes condiciones preprogramadas para en ese momento ejecutar una accioacuten
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 62
volver
VIRUS DE MACROS
bull Es una secuencia de oacuterdenes de teclado y ratoacuten asignadas a una sola tecla Los virus de macros afectan a archivos y plantillas que los contienen hacieacutendose pasar por una macro y no actuaraacuten hasta que el archivo se abra o utilice
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 63
VOLVER
VIRUS RESIDENTES
bull Se colocan automaacuteticamente en la memoria RAM del ordenador De este modo pueden controlar e interceptar todas las operaciones llevadas a cabo por el sistema operativo infectando todos aquellos ficheros yo programas que sean ejecutados abiertos cerrados renombrados copiados etc
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 64
VIRUS DE ENLACE
bull Modifican las direcciones que permiten a nivel interno acceder a cada uno de los archivos existentes y como consecuencia no es posible localizarlos y trabajar con ellos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 65
VOLVER
VIRUS MUTANTES
bull Son virus que mutan es decir x Debido a estas mutaciones cada generacioacuten de virus es diferente a la versioacuten anterior dificultando asiacute su deteccioacuten y eliminacioacuten
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 66
VIRUS DE BOOT
bull Se activan en el momento en el que se arranca el ordenador desde un disco infectado ya sea desde el disco duro o desde una memoria USB
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 67
VOLVER
VIRUS DE PROGRAMA
bull Comuacutenmente infectan archivos con extensiones EXE COM OVL DRV BIN DLL y SYS
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 68
VOLVER
VIRUS DE SOBREESCRITURA
bull Sobre-escriben en el interior de los archivos atacados haciendo que se pierda el contenido de los mismos
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 69
Ataques de Seguridad
bull Spyware Es un software de computadoraque al instalarse intercepta o toma controlparcial de la interaccioacuten de lacomputadora y el usuario esto sin que elmismo se de cuenta Estos programaspueden recolectar diferentes tipos deinformacioacuten de los usuarios asiacute comoinstalar software adicional sin elconsentimiento de los mismos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 70
71
Herramientas de Seguridad
bull Gusano Es un programa de computadora quepuede replicarse a si mismo utiliza la red paraenviar copias de si mismo a otros nodos y lopuede hacer sin la intervencioacuten del usuario
A diferencia de los ldquovirusrdquo los gusanos nonecesitan estar amarrados a un programa y sufuncioacuten es principalmente dantildear la red (ejdesempentildeo) mientras que los virus dantildeanarchivos en computadoras
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
72
Ataques de Seguridad
bull Caballo de Troya Es una programa que seinstala bajo la creencia de que se estainstalando alguna otra cosa Los troyanosson programas muy utilizados parainstalar programas tipo ldquobackdoorsrdquo quepermiten el acceso no autorizado a lacomputadora atacada un ejemplo deprogramas tipo backdoor son losKeyloogers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
73
Ataques de Seguridad
bull DoS Denial of service- Ataques quehacen indisponible un servicio a losusuarios
bull DDoS Son conocidos como DNSBackbone Distributed Denial ofServices ndash Ataques tienen comoblanco los servidores raiacutez DNS por lotanto afectan uno de los pilares delInternet los nombres de los dominios
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
74
Ataques de Seguridad
bull Footprinting Teacutecnica utilizada para reunir informacioacuten acerca de sistemas computacionales y las entidades a las que pertenece algunos ejemplos son
- Domain queries
- Network queries
- Organizational queries
- TCP scans
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
75
Ataques de Seguridad
bull Fingerprinting Tambieacuten es conocidocomo TCPIP stack fingerprinting y esutilizado para determinar que sistemaoperativo utiliza alguacuten blanco en la redExiste dos tipos de fingerprinting
- Pasivo- Activo
NMAP es una herramienta que utilizafingerprinting activo para mapearpuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
76
Ataques de Seguridad
bull Escaneo de puertos El escaneo depuertos se basa en el FingerprintingActivo es decir transmite y recibesentildeales como ICMP TELNET SNMPdesde un blanco determinado en lared esto con el fin de obtenerinformacioacuten de dicho blanco en estecaso informacioacuten acerca de suspuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
77
Ataques de Seguridad
bull Sniffing Para llevar a cabo el sniffing esnecesario contar con un ldquopacket snifferrdquoque puede ser software instalado en unacomputadora o un dispositivoindependiente (appliance) estedispositivo es utilizado para interceptar yregistrar traacutefico que pasa a traveacutes de unared o de un segmento de la misma(Puede ser de una red ethernet owireless)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
78
Ataques de Seguridad
bull Spoofing Los ataques tipo spoofing sonaquellos en los que una persona oprograma logra hacerse pasar por otrafalsificando informacioacuten o utilizando laingenieriacutea algunos ataques tipo spoofingson los siguientes
- Falsificacioacuten de direccioacuten de email
- Falsificacioacuten de ID de llamadas telefoacutenicas
- Falsificacioacuten de sitios de internet (phishing)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
79
Ataques de Seguridad
bull Phishing Es el uso de teacutecnicas deingenieriacutea social con la finalidad deadquirir de manera fraudulentainformacioacuten confidencial comonombres de usuarios contrasentildeasinformacioacuten de tarjetas de creacutedito
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
80
Ataques de Seguridad
bull Ingenieriacutea Social Se refiere a unacoleccioacuten de teacutecnicas utilizadas paramanipular a las personas para querealicen alguna accioacuten o divulgueninformacioacuten confidencial
Algunos ingenieros sociales notablesson
- Kevin Mitnik
- Frank Abagnale
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
Ingenieriacutea Social
Es el conjunto de meacutetodos y praacutecticas usados para obtener informacioacuten de usuarios legiacutetimos y con la informacioacuten obtenida lograr acceso a sistemas protegidos siendo esta praacutectica de uso comuacuten entre piratas informaacuteticos y delincuentes computacionales
Coacutemo me afecta Al no validar las referencias o no seguir el protocolo de seguridad adecuado para divulgar contrasentildeas o cualquier otra informacioacuten sensible podemos ser coacutemplices de un crimen Meacutexico ha acordado con organismos internacionales la homologacioacuten yo adecuacioacuten de coacutedigos penales para que estos delitos sean perseguidos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 81
Ingenieriacutea Social
Coacutemo puedo saber si estoy siendo viacutectima de un ingeniero social Muy simple cuando alguien nos pide alguacuten tipo de informacioacuten privilegiada y esta persona es insistente cuando le requerimos seguir un protocolo para validar su intencioacuten es altamente probable que estemos siendo viacutectimas de un intento de robo de informacioacuten por un ingeniero socialhacker
Coacutemo puedo evitarlo Sencillo si no confiamos en la persona que nos solicita los datos (supongamos un teacutecnico de soporte de nuestro lugar de trabajo) podemos pedirle que nos deje sus datos y comunicarnos con el 10 minutos despueacutes de validar que la peticioacuten es legiacutetima es decir soacutelo sigamos los protocolos que existen en el trabajo y crear los propios en casa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 82
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra los Sistemas que Utilizan Tecnologiacuteas de Informacioacuten
bull Artiacuteculo 6 Acceso indebido
bull Artiacuteculo 7 Sabotaje o dantildeo a sistemas
bull Artiacuteculo 8 Favorecimiento culposo del sabotaje o dantildeo
bull Artiacuteculo 9 Acceso indebido o sabotaje a sistemas protegidos
bull Artiacuteculo 10 Posesioacuten de equipos o prestacioacuten de servicios de sabotaje
bull Artiacuteculo 11 Espionaje informaacutetico
bull Artiacuteculo 12 Falsificacioacuten de documentos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 83
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Propiedad
bull Artiacuteculo 13 Hurto
bull Artiacuteculo 14 Fraude
bull Artiacuteculo 15 Obtencioacuten indebida de bienes o servicios
bull Artiacuteculo 16 Manejo fraudulento de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 17 Apropiacioacuten de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 18 Provisioacuten indebida de bienes o servicios
bull Artiacuteculo 19 Posesioacuten de equipo para falsificaciones
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 84
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Privacidad de las Personas y de las Comunicaciones
bullArtiacuteculo 20 Violacioacuten de la privacidad de la data o informacioacuten de caraacutecter personal
bullArtiacuteculo 21 Violacioacuten de la privacidad de las comunicaciones
bullArtiacuteculo 22 Revelacioacuten indebida de data o informacioacuten de caraacutecter personal
De los Delitos Contra Nintildeos Nintildeas o Adolescentes
bullArtiacuteculo 23 Difusioacuten o exhibicioacuten de material pornograacutefico
bullArtiacuteculo 24 Exhibicioacuten pornograacutefica de nintildeos o adolescentes
De los Delitos Contra el Orden Econoacutemico
bullArtiacuteculo 25 Apropiacioacuten de propiedad intelectual
bullArtiacuteculo 26 Oferta engantildeosa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 85
Plan de Contingencia Continuidad Operacional
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 86
Plan de Contingencia
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 87
ldquoConjunto de Normas y Procedimientos documentadosy comunicados que tienen por objetivo minimizar los riesgos informaacuteticos mas probablesrdquo
InvolucrabullUso de herramientas
bullCumplimiento de Tareas por
parte de personas
Plan de Contingencia
Consta de tres subplanes independientes
bull Plan de Respaldo crear y conservar en un lugar seguro copias de seguridad de la informacioacuten
bull Pla de Emergencia queacute medidas tomar cuando se estaacute materializando una amenaza o cuando acaba de producirse
bull Plan de Recuperacioacuten medidas que se aplicaran cuando se ha producido un desastre El objetivo es evaluar el impacto y regresar lo antes posible
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 88
Plan de Contingencia
En la elaboracioacuten de este plan no se puede dejar por fuera a los miembros de la organizacioacuten el cual debe estar informado y entrenado para actuar en las funciones que le hayan sido encomendadas en caso de producirse una amenaza o impacto
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 89
Continuidad Operacional
Business Continuity Planning (Plan de Continuidad de negocios)
bull Plan Baacutesico
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Coldsite)
bull Plan Intermedio
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan Alto
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan de respuesta y continuidad de negocios alternativo (sin asistencia de sistemas)
bull Stress Testing al Plan
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 90
El Stress Testing
bull Poner a prueba el planbull Revise y evalueacute
bull Respaldosbull Oportunidad integridad y funcionalidadbull Custodia y transporte
bull Cold y Hotsitebull Funcionalidad accesibilidad y compatibilidadbull Actualizacioacuten oportuna (hotsite)
bull Personalbull Roles y funcionesbull Accesibilidad (contactos y comunicaciones)
bull Simulacioacuten de cataacutestrofesbull Sin previo aviso el director encargado del BCP se presenta en el centro de computo
cronometro en mano y baja la cuchilla de electricidad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 91
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de Lehman Brothers
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el WorldTrade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehman se desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del World Trade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehman teniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 92
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de LehmanBrothers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 93
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el World Trade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehmanse desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 94
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del WorldTrade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehmanteniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 95
La Contingencia Manual la Uacuteltima Frontera
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 96
05062015 97
DATOS BAacuteSICOS
Responsable A Nivel Corporativo Responsable(s) A Nivel Regional
PROVEEDOR (ES)
Origen Responsable Insumo (s)
RESULTADOS
Normas y Procedimientos Asociados Fecha uacuteltima revisioacuten Sistemas Aplicaciones Asociadas
Proceso
CALIFICACIOacuteN DE CONTROLES DE ENTRADA
Actividad
RECOMENDACIONES
Procesamiento
Automaacutetico (A)Manual (M)
Frecuencia
Adiestramiento Proceso Sistema N y P Otros
Negocio Area Localidad
Responsable
Nombre CargoNombre Cargo
NOMBRE
ELABORADO POR
CARGO FIRMA
Calidad de Data (B) Buena (R) Regular (M) Mala Oportunidad (AT) A Tiempo (R) Retrasada Revisioacuten Aprobacioacuten (S) Si (N) NoLEYENDA
Calificacioacuten (F) Fuerte (M) Medio (B) Bajo
DescripcioacutenResponsableDescripcioacuten
Tarea
Descripcioacuten
FRECUENCIA DE LA TAREA Diaria (D) Semanal (S) Mensual (M) Trimestral (T) Anual (A) Ocasional (O)
Soportes Recepcioacuten (P) Papel (E) Electroacutenico Archivo (S) Si (N) No Soportes Enviacuteo (S) Si (N) No Backup (S) Si (N) No
Producto (s) Cliente ReceptorControl
de salida
SoportesFrecuencia
Recepcioacuten Backup
DOCUMENTOS SISTEMAS ASOCIADOS A LOS CONTROLES
CALIFICACIOacuteN DE CONTROLES (por parte del Cliente Receptor)
Revisioacuten
Aprobacioacuten
Revisioacuten
AprobacioacutenTipo de control
Procesamiento
Automaacutetico (A)Manual (M)
Control
De EntradaTipo de control
Soportes
Recepcioacuten Archivo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 98
DATOS BAacuteSICOS
TareaActividad
Proceso Responsable del Proceso
Fecha de Elaboracioacuten 2015
Accioacuten (es) Responsable (s)
OBSERVACIONES ELABORADO POR
FIRMA
NOMBRE
Plan de recuperacioacuten y Reactivacioacuten de Finanzas
Recomendaciones Acciones
La Cadena de Valor de una Organizacioacuten de Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 99
ASESORAR EN CONTROLES DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR DELEGACIONES FINANCIERAS
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
CONTROLAR SEGURIDAD SISTEMA
OPERACIONALES ADMINISTRATIVOS Y OTROS
SISTEMAS FINANCIEROS
DESARROLLAR CONTROLES
DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR Y DESARROLLAR PLAN INTEGRAL DE CONTROL ( PIC )
Asesorar en controles de procesos normas y
Procedimientos
Administrar delegaciones financieras
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
Controlar seguridad sistema
operacionales administrativos y otros
sistemas financieros
Desarrollar
controles de
procesos
normas y
procedimientos
Administrar y desarrollar plan integral de control ( PIC )
POPUP
bull Un pop-up es un tipo de ventana web que aparece delante de la ventana de un navegador al visitar una paacutegina web
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 59
VOLVER
ADWARE
bull Un programa de clase adware es cualquier programa que automaacuteticamente muestra publicidad web al usuario durante su instalacioacuten o durante su uso para generar lucro a sus autores
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 60
SPAM
bull Se llama spam correo basura a los mensajes no solicitados no deseados o de remitente no conocido habitualmente de tipo publicitario generalmente enviados
en grandes cantidades que perjudican al receptor
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 61
Bomba Loacutegica
Son programas informaacuteticos que se instala en un ordenador y permanece oculto hasta cumplirse una o maacutes condiciones preprogramadas para en ese momento ejecutar una accioacuten
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 62
volver
VIRUS DE MACROS
bull Es una secuencia de oacuterdenes de teclado y ratoacuten asignadas a una sola tecla Los virus de macros afectan a archivos y plantillas que los contienen hacieacutendose pasar por una macro y no actuaraacuten hasta que el archivo se abra o utilice
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 63
VOLVER
VIRUS RESIDENTES
bull Se colocan automaacuteticamente en la memoria RAM del ordenador De este modo pueden controlar e interceptar todas las operaciones llevadas a cabo por el sistema operativo infectando todos aquellos ficheros yo programas que sean ejecutados abiertos cerrados renombrados copiados etc
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 64
VIRUS DE ENLACE
bull Modifican las direcciones que permiten a nivel interno acceder a cada uno de los archivos existentes y como consecuencia no es posible localizarlos y trabajar con ellos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 65
VOLVER
VIRUS MUTANTES
bull Son virus que mutan es decir x Debido a estas mutaciones cada generacioacuten de virus es diferente a la versioacuten anterior dificultando asiacute su deteccioacuten y eliminacioacuten
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 66
VIRUS DE BOOT
bull Se activan en el momento en el que se arranca el ordenador desde un disco infectado ya sea desde el disco duro o desde una memoria USB
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 67
VOLVER
VIRUS DE PROGRAMA
bull Comuacutenmente infectan archivos con extensiones EXE COM OVL DRV BIN DLL y SYS
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 68
VOLVER
VIRUS DE SOBREESCRITURA
bull Sobre-escriben en el interior de los archivos atacados haciendo que se pierda el contenido de los mismos
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 69
Ataques de Seguridad
bull Spyware Es un software de computadoraque al instalarse intercepta o toma controlparcial de la interaccioacuten de lacomputadora y el usuario esto sin que elmismo se de cuenta Estos programaspueden recolectar diferentes tipos deinformacioacuten de los usuarios asiacute comoinstalar software adicional sin elconsentimiento de los mismos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 70
71
Herramientas de Seguridad
bull Gusano Es un programa de computadora quepuede replicarse a si mismo utiliza la red paraenviar copias de si mismo a otros nodos y lopuede hacer sin la intervencioacuten del usuario
A diferencia de los ldquovirusrdquo los gusanos nonecesitan estar amarrados a un programa y sufuncioacuten es principalmente dantildear la red (ejdesempentildeo) mientras que los virus dantildeanarchivos en computadoras
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
72
Ataques de Seguridad
bull Caballo de Troya Es una programa que seinstala bajo la creencia de que se estainstalando alguna otra cosa Los troyanosson programas muy utilizados parainstalar programas tipo ldquobackdoorsrdquo quepermiten el acceso no autorizado a lacomputadora atacada un ejemplo deprogramas tipo backdoor son losKeyloogers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
73
Ataques de Seguridad
bull DoS Denial of service- Ataques quehacen indisponible un servicio a losusuarios
bull DDoS Son conocidos como DNSBackbone Distributed Denial ofServices ndash Ataques tienen comoblanco los servidores raiacutez DNS por lotanto afectan uno de los pilares delInternet los nombres de los dominios
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
74
Ataques de Seguridad
bull Footprinting Teacutecnica utilizada para reunir informacioacuten acerca de sistemas computacionales y las entidades a las que pertenece algunos ejemplos son
- Domain queries
- Network queries
- Organizational queries
- TCP scans
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
75
Ataques de Seguridad
bull Fingerprinting Tambieacuten es conocidocomo TCPIP stack fingerprinting y esutilizado para determinar que sistemaoperativo utiliza alguacuten blanco en la redExiste dos tipos de fingerprinting
- Pasivo- Activo
NMAP es una herramienta que utilizafingerprinting activo para mapearpuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
76
Ataques de Seguridad
bull Escaneo de puertos El escaneo depuertos se basa en el FingerprintingActivo es decir transmite y recibesentildeales como ICMP TELNET SNMPdesde un blanco determinado en lared esto con el fin de obtenerinformacioacuten de dicho blanco en estecaso informacioacuten acerca de suspuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
77
Ataques de Seguridad
bull Sniffing Para llevar a cabo el sniffing esnecesario contar con un ldquopacket snifferrdquoque puede ser software instalado en unacomputadora o un dispositivoindependiente (appliance) estedispositivo es utilizado para interceptar yregistrar traacutefico que pasa a traveacutes de unared o de un segmento de la misma(Puede ser de una red ethernet owireless)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
78
Ataques de Seguridad
bull Spoofing Los ataques tipo spoofing sonaquellos en los que una persona oprograma logra hacerse pasar por otrafalsificando informacioacuten o utilizando laingenieriacutea algunos ataques tipo spoofingson los siguientes
- Falsificacioacuten de direccioacuten de email
- Falsificacioacuten de ID de llamadas telefoacutenicas
- Falsificacioacuten de sitios de internet (phishing)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
79
Ataques de Seguridad
bull Phishing Es el uso de teacutecnicas deingenieriacutea social con la finalidad deadquirir de manera fraudulentainformacioacuten confidencial comonombres de usuarios contrasentildeasinformacioacuten de tarjetas de creacutedito
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
80
Ataques de Seguridad
bull Ingenieriacutea Social Se refiere a unacoleccioacuten de teacutecnicas utilizadas paramanipular a las personas para querealicen alguna accioacuten o divulgueninformacioacuten confidencial
Algunos ingenieros sociales notablesson
- Kevin Mitnik
- Frank Abagnale
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
Ingenieriacutea Social
Es el conjunto de meacutetodos y praacutecticas usados para obtener informacioacuten de usuarios legiacutetimos y con la informacioacuten obtenida lograr acceso a sistemas protegidos siendo esta praacutectica de uso comuacuten entre piratas informaacuteticos y delincuentes computacionales
Coacutemo me afecta Al no validar las referencias o no seguir el protocolo de seguridad adecuado para divulgar contrasentildeas o cualquier otra informacioacuten sensible podemos ser coacutemplices de un crimen Meacutexico ha acordado con organismos internacionales la homologacioacuten yo adecuacioacuten de coacutedigos penales para que estos delitos sean perseguidos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 81
Ingenieriacutea Social
Coacutemo puedo saber si estoy siendo viacutectima de un ingeniero social Muy simple cuando alguien nos pide alguacuten tipo de informacioacuten privilegiada y esta persona es insistente cuando le requerimos seguir un protocolo para validar su intencioacuten es altamente probable que estemos siendo viacutectimas de un intento de robo de informacioacuten por un ingeniero socialhacker
Coacutemo puedo evitarlo Sencillo si no confiamos en la persona que nos solicita los datos (supongamos un teacutecnico de soporte de nuestro lugar de trabajo) podemos pedirle que nos deje sus datos y comunicarnos con el 10 minutos despueacutes de validar que la peticioacuten es legiacutetima es decir soacutelo sigamos los protocolos que existen en el trabajo y crear los propios en casa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 82
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra los Sistemas que Utilizan Tecnologiacuteas de Informacioacuten
bull Artiacuteculo 6 Acceso indebido
bull Artiacuteculo 7 Sabotaje o dantildeo a sistemas
bull Artiacuteculo 8 Favorecimiento culposo del sabotaje o dantildeo
bull Artiacuteculo 9 Acceso indebido o sabotaje a sistemas protegidos
bull Artiacuteculo 10 Posesioacuten de equipos o prestacioacuten de servicios de sabotaje
bull Artiacuteculo 11 Espionaje informaacutetico
bull Artiacuteculo 12 Falsificacioacuten de documentos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 83
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Propiedad
bull Artiacuteculo 13 Hurto
bull Artiacuteculo 14 Fraude
bull Artiacuteculo 15 Obtencioacuten indebida de bienes o servicios
bull Artiacuteculo 16 Manejo fraudulento de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 17 Apropiacioacuten de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 18 Provisioacuten indebida de bienes o servicios
bull Artiacuteculo 19 Posesioacuten de equipo para falsificaciones
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 84
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Privacidad de las Personas y de las Comunicaciones
bullArtiacuteculo 20 Violacioacuten de la privacidad de la data o informacioacuten de caraacutecter personal
bullArtiacuteculo 21 Violacioacuten de la privacidad de las comunicaciones
bullArtiacuteculo 22 Revelacioacuten indebida de data o informacioacuten de caraacutecter personal
De los Delitos Contra Nintildeos Nintildeas o Adolescentes
bullArtiacuteculo 23 Difusioacuten o exhibicioacuten de material pornograacutefico
bullArtiacuteculo 24 Exhibicioacuten pornograacutefica de nintildeos o adolescentes
De los Delitos Contra el Orden Econoacutemico
bullArtiacuteculo 25 Apropiacioacuten de propiedad intelectual
bullArtiacuteculo 26 Oferta engantildeosa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 85
Plan de Contingencia Continuidad Operacional
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 86
Plan de Contingencia
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 87
ldquoConjunto de Normas y Procedimientos documentadosy comunicados que tienen por objetivo minimizar los riesgos informaacuteticos mas probablesrdquo
InvolucrabullUso de herramientas
bullCumplimiento de Tareas por
parte de personas
Plan de Contingencia
Consta de tres subplanes independientes
bull Plan de Respaldo crear y conservar en un lugar seguro copias de seguridad de la informacioacuten
bull Pla de Emergencia queacute medidas tomar cuando se estaacute materializando una amenaza o cuando acaba de producirse
bull Plan de Recuperacioacuten medidas que se aplicaran cuando se ha producido un desastre El objetivo es evaluar el impacto y regresar lo antes posible
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 88
Plan de Contingencia
En la elaboracioacuten de este plan no se puede dejar por fuera a los miembros de la organizacioacuten el cual debe estar informado y entrenado para actuar en las funciones que le hayan sido encomendadas en caso de producirse una amenaza o impacto
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 89
Continuidad Operacional
Business Continuity Planning (Plan de Continuidad de negocios)
bull Plan Baacutesico
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Coldsite)
bull Plan Intermedio
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan Alto
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan de respuesta y continuidad de negocios alternativo (sin asistencia de sistemas)
bull Stress Testing al Plan
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 90
El Stress Testing
bull Poner a prueba el planbull Revise y evalueacute
bull Respaldosbull Oportunidad integridad y funcionalidadbull Custodia y transporte
bull Cold y Hotsitebull Funcionalidad accesibilidad y compatibilidadbull Actualizacioacuten oportuna (hotsite)
bull Personalbull Roles y funcionesbull Accesibilidad (contactos y comunicaciones)
bull Simulacioacuten de cataacutestrofesbull Sin previo aviso el director encargado del BCP se presenta en el centro de computo
cronometro en mano y baja la cuchilla de electricidad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 91
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de Lehman Brothers
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el WorldTrade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehman se desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del World Trade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehman teniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 92
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de LehmanBrothers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 93
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el World Trade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehmanse desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 94
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del WorldTrade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehmanteniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 95
La Contingencia Manual la Uacuteltima Frontera
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 96
05062015 97
DATOS BAacuteSICOS
Responsable A Nivel Corporativo Responsable(s) A Nivel Regional
PROVEEDOR (ES)
Origen Responsable Insumo (s)
RESULTADOS
Normas y Procedimientos Asociados Fecha uacuteltima revisioacuten Sistemas Aplicaciones Asociadas
Proceso
CALIFICACIOacuteN DE CONTROLES DE ENTRADA
Actividad
RECOMENDACIONES
Procesamiento
Automaacutetico (A)Manual (M)
Frecuencia
Adiestramiento Proceso Sistema N y P Otros
Negocio Area Localidad
Responsable
Nombre CargoNombre Cargo
NOMBRE
ELABORADO POR
CARGO FIRMA
Calidad de Data (B) Buena (R) Regular (M) Mala Oportunidad (AT) A Tiempo (R) Retrasada Revisioacuten Aprobacioacuten (S) Si (N) NoLEYENDA
Calificacioacuten (F) Fuerte (M) Medio (B) Bajo
DescripcioacutenResponsableDescripcioacuten
Tarea
Descripcioacuten
FRECUENCIA DE LA TAREA Diaria (D) Semanal (S) Mensual (M) Trimestral (T) Anual (A) Ocasional (O)
Soportes Recepcioacuten (P) Papel (E) Electroacutenico Archivo (S) Si (N) No Soportes Enviacuteo (S) Si (N) No Backup (S) Si (N) No
Producto (s) Cliente ReceptorControl
de salida
SoportesFrecuencia
Recepcioacuten Backup
DOCUMENTOS SISTEMAS ASOCIADOS A LOS CONTROLES
CALIFICACIOacuteN DE CONTROLES (por parte del Cliente Receptor)
Revisioacuten
Aprobacioacuten
Revisioacuten
AprobacioacutenTipo de control
Procesamiento
Automaacutetico (A)Manual (M)
Control
De EntradaTipo de control
Soportes
Recepcioacuten Archivo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 98
DATOS BAacuteSICOS
TareaActividad
Proceso Responsable del Proceso
Fecha de Elaboracioacuten 2015
Accioacuten (es) Responsable (s)
OBSERVACIONES ELABORADO POR
FIRMA
NOMBRE
Plan de recuperacioacuten y Reactivacioacuten de Finanzas
Recomendaciones Acciones
La Cadena de Valor de una Organizacioacuten de Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 99
ASESORAR EN CONTROLES DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR DELEGACIONES FINANCIERAS
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
CONTROLAR SEGURIDAD SISTEMA
OPERACIONALES ADMINISTRATIVOS Y OTROS
SISTEMAS FINANCIEROS
DESARROLLAR CONTROLES
DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR Y DESARROLLAR PLAN INTEGRAL DE CONTROL ( PIC )
Asesorar en controles de procesos normas y
Procedimientos
Administrar delegaciones financieras
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
Controlar seguridad sistema
operacionales administrativos y otros
sistemas financieros
Desarrollar
controles de
procesos
normas y
procedimientos
Administrar y desarrollar plan integral de control ( PIC )
ADWARE
bull Un programa de clase adware es cualquier programa que automaacuteticamente muestra publicidad web al usuario durante su instalacioacuten o durante su uso para generar lucro a sus autores
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 60
SPAM
bull Se llama spam correo basura a los mensajes no solicitados no deseados o de remitente no conocido habitualmente de tipo publicitario generalmente enviados
en grandes cantidades que perjudican al receptor
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 61
Bomba Loacutegica
Son programas informaacuteticos que se instala en un ordenador y permanece oculto hasta cumplirse una o maacutes condiciones preprogramadas para en ese momento ejecutar una accioacuten
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 62
volver
VIRUS DE MACROS
bull Es una secuencia de oacuterdenes de teclado y ratoacuten asignadas a una sola tecla Los virus de macros afectan a archivos y plantillas que los contienen hacieacutendose pasar por una macro y no actuaraacuten hasta que el archivo se abra o utilice
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 63
VOLVER
VIRUS RESIDENTES
bull Se colocan automaacuteticamente en la memoria RAM del ordenador De este modo pueden controlar e interceptar todas las operaciones llevadas a cabo por el sistema operativo infectando todos aquellos ficheros yo programas que sean ejecutados abiertos cerrados renombrados copiados etc
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 64
VIRUS DE ENLACE
bull Modifican las direcciones que permiten a nivel interno acceder a cada uno de los archivos existentes y como consecuencia no es posible localizarlos y trabajar con ellos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 65
VOLVER
VIRUS MUTANTES
bull Son virus que mutan es decir x Debido a estas mutaciones cada generacioacuten de virus es diferente a la versioacuten anterior dificultando asiacute su deteccioacuten y eliminacioacuten
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 66
VIRUS DE BOOT
bull Se activan en el momento en el que se arranca el ordenador desde un disco infectado ya sea desde el disco duro o desde una memoria USB
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 67
VOLVER
VIRUS DE PROGRAMA
bull Comuacutenmente infectan archivos con extensiones EXE COM OVL DRV BIN DLL y SYS
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 68
VOLVER
VIRUS DE SOBREESCRITURA
bull Sobre-escriben en el interior de los archivos atacados haciendo que se pierda el contenido de los mismos
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 69
Ataques de Seguridad
bull Spyware Es un software de computadoraque al instalarse intercepta o toma controlparcial de la interaccioacuten de lacomputadora y el usuario esto sin que elmismo se de cuenta Estos programaspueden recolectar diferentes tipos deinformacioacuten de los usuarios asiacute comoinstalar software adicional sin elconsentimiento de los mismos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 70
71
Herramientas de Seguridad
bull Gusano Es un programa de computadora quepuede replicarse a si mismo utiliza la red paraenviar copias de si mismo a otros nodos y lopuede hacer sin la intervencioacuten del usuario
A diferencia de los ldquovirusrdquo los gusanos nonecesitan estar amarrados a un programa y sufuncioacuten es principalmente dantildear la red (ejdesempentildeo) mientras que los virus dantildeanarchivos en computadoras
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
72
Ataques de Seguridad
bull Caballo de Troya Es una programa que seinstala bajo la creencia de que se estainstalando alguna otra cosa Los troyanosson programas muy utilizados parainstalar programas tipo ldquobackdoorsrdquo quepermiten el acceso no autorizado a lacomputadora atacada un ejemplo deprogramas tipo backdoor son losKeyloogers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
73
Ataques de Seguridad
bull DoS Denial of service- Ataques quehacen indisponible un servicio a losusuarios
bull DDoS Son conocidos como DNSBackbone Distributed Denial ofServices ndash Ataques tienen comoblanco los servidores raiacutez DNS por lotanto afectan uno de los pilares delInternet los nombres de los dominios
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
74
Ataques de Seguridad
bull Footprinting Teacutecnica utilizada para reunir informacioacuten acerca de sistemas computacionales y las entidades a las que pertenece algunos ejemplos son
- Domain queries
- Network queries
- Organizational queries
- TCP scans
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
75
Ataques de Seguridad
bull Fingerprinting Tambieacuten es conocidocomo TCPIP stack fingerprinting y esutilizado para determinar que sistemaoperativo utiliza alguacuten blanco en la redExiste dos tipos de fingerprinting
- Pasivo- Activo
NMAP es una herramienta que utilizafingerprinting activo para mapearpuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
76
Ataques de Seguridad
bull Escaneo de puertos El escaneo depuertos se basa en el FingerprintingActivo es decir transmite y recibesentildeales como ICMP TELNET SNMPdesde un blanco determinado en lared esto con el fin de obtenerinformacioacuten de dicho blanco en estecaso informacioacuten acerca de suspuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
77
Ataques de Seguridad
bull Sniffing Para llevar a cabo el sniffing esnecesario contar con un ldquopacket snifferrdquoque puede ser software instalado en unacomputadora o un dispositivoindependiente (appliance) estedispositivo es utilizado para interceptar yregistrar traacutefico que pasa a traveacutes de unared o de un segmento de la misma(Puede ser de una red ethernet owireless)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
78
Ataques de Seguridad
bull Spoofing Los ataques tipo spoofing sonaquellos en los que una persona oprograma logra hacerse pasar por otrafalsificando informacioacuten o utilizando laingenieriacutea algunos ataques tipo spoofingson los siguientes
- Falsificacioacuten de direccioacuten de email
- Falsificacioacuten de ID de llamadas telefoacutenicas
- Falsificacioacuten de sitios de internet (phishing)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
79
Ataques de Seguridad
bull Phishing Es el uso de teacutecnicas deingenieriacutea social con la finalidad deadquirir de manera fraudulentainformacioacuten confidencial comonombres de usuarios contrasentildeasinformacioacuten de tarjetas de creacutedito
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
80
Ataques de Seguridad
bull Ingenieriacutea Social Se refiere a unacoleccioacuten de teacutecnicas utilizadas paramanipular a las personas para querealicen alguna accioacuten o divulgueninformacioacuten confidencial
Algunos ingenieros sociales notablesson
- Kevin Mitnik
- Frank Abagnale
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
Ingenieriacutea Social
Es el conjunto de meacutetodos y praacutecticas usados para obtener informacioacuten de usuarios legiacutetimos y con la informacioacuten obtenida lograr acceso a sistemas protegidos siendo esta praacutectica de uso comuacuten entre piratas informaacuteticos y delincuentes computacionales
Coacutemo me afecta Al no validar las referencias o no seguir el protocolo de seguridad adecuado para divulgar contrasentildeas o cualquier otra informacioacuten sensible podemos ser coacutemplices de un crimen Meacutexico ha acordado con organismos internacionales la homologacioacuten yo adecuacioacuten de coacutedigos penales para que estos delitos sean perseguidos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 81
Ingenieriacutea Social
Coacutemo puedo saber si estoy siendo viacutectima de un ingeniero social Muy simple cuando alguien nos pide alguacuten tipo de informacioacuten privilegiada y esta persona es insistente cuando le requerimos seguir un protocolo para validar su intencioacuten es altamente probable que estemos siendo viacutectimas de un intento de robo de informacioacuten por un ingeniero socialhacker
Coacutemo puedo evitarlo Sencillo si no confiamos en la persona que nos solicita los datos (supongamos un teacutecnico de soporte de nuestro lugar de trabajo) podemos pedirle que nos deje sus datos y comunicarnos con el 10 minutos despueacutes de validar que la peticioacuten es legiacutetima es decir soacutelo sigamos los protocolos que existen en el trabajo y crear los propios en casa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 82
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra los Sistemas que Utilizan Tecnologiacuteas de Informacioacuten
bull Artiacuteculo 6 Acceso indebido
bull Artiacuteculo 7 Sabotaje o dantildeo a sistemas
bull Artiacuteculo 8 Favorecimiento culposo del sabotaje o dantildeo
bull Artiacuteculo 9 Acceso indebido o sabotaje a sistemas protegidos
bull Artiacuteculo 10 Posesioacuten de equipos o prestacioacuten de servicios de sabotaje
bull Artiacuteculo 11 Espionaje informaacutetico
bull Artiacuteculo 12 Falsificacioacuten de documentos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 83
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Propiedad
bull Artiacuteculo 13 Hurto
bull Artiacuteculo 14 Fraude
bull Artiacuteculo 15 Obtencioacuten indebida de bienes o servicios
bull Artiacuteculo 16 Manejo fraudulento de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 17 Apropiacioacuten de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 18 Provisioacuten indebida de bienes o servicios
bull Artiacuteculo 19 Posesioacuten de equipo para falsificaciones
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 84
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Privacidad de las Personas y de las Comunicaciones
bullArtiacuteculo 20 Violacioacuten de la privacidad de la data o informacioacuten de caraacutecter personal
bullArtiacuteculo 21 Violacioacuten de la privacidad de las comunicaciones
bullArtiacuteculo 22 Revelacioacuten indebida de data o informacioacuten de caraacutecter personal
De los Delitos Contra Nintildeos Nintildeas o Adolescentes
bullArtiacuteculo 23 Difusioacuten o exhibicioacuten de material pornograacutefico
bullArtiacuteculo 24 Exhibicioacuten pornograacutefica de nintildeos o adolescentes
De los Delitos Contra el Orden Econoacutemico
bullArtiacuteculo 25 Apropiacioacuten de propiedad intelectual
bullArtiacuteculo 26 Oferta engantildeosa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 85
Plan de Contingencia Continuidad Operacional
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 86
Plan de Contingencia
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 87
ldquoConjunto de Normas y Procedimientos documentadosy comunicados que tienen por objetivo minimizar los riesgos informaacuteticos mas probablesrdquo
InvolucrabullUso de herramientas
bullCumplimiento de Tareas por
parte de personas
Plan de Contingencia
Consta de tres subplanes independientes
bull Plan de Respaldo crear y conservar en un lugar seguro copias de seguridad de la informacioacuten
bull Pla de Emergencia queacute medidas tomar cuando se estaacute materializando una amenaza o cuando acaba de producirse
bull Plan de Recuperacioacuten medidas que se aplicaran cuando se ha producido un desastre El objetivo es evaluar el impacto y regresar lo antes posible
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 88
Plan de Contingencia
En la elaboracioacuten de este plan no se puede dejar por fuera a los miembros de la organizacioacuten el cual debe estar informado y entrenado para actuar en las funciones que le hayan sido encomendadas en caso de producirse una amenaza o impacto
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 89
Continuidad Operacional
Business Continuity Planning (Plan de Continuidad de negocios)
bull Plan Baacutesico
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Coldsite)
bull Plan Intermedio
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan Alto
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan de respuesta y continuidad de negocios alternativo (sin asistencia de sistemas)
bull Stress Testing al Plan
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 90
El Stress Testing
bull Poner a prueba el planbull Revise y evalueacute
bull Respaldosbull Oportunidad integridad y funcionalidadbull Custodia y transporte
bull Cold y Hotsitebull Funcionalidad accesibilidad y compatibilidadbull Actualizacioacuten oportuna (hotsite)
bull Personalbull Roles y funcionesbull Accesibilidad (contactos y comunicaciones)
bull Simulacioacuten de cataacutestrofesbull Sin previo aviso el director encargado del BCP se presenta en el centro de computo
cronometro en mano y baja la cuchilla de electricidad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 91
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de Lehman Brothers
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el WorldTrade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehman se desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del World Trade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehman teniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 92
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de LehmanBrothers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 93
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el World Trade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehmanse desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 94
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del WorldTrade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehmanteniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 95
La Contingencia Manual la Uacuteltima Frontera
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 96
05062015 97
DATOS BAacuteSICOS
Responsable A Nivel Corporativo Responsable(s) A Nivel Regional
PROVEEDOR (ES)
Origen Responsable Insumo (s)
RESULTADOS
Normas y Procedimientos Asociados Fecha uacuteltima revisioacuten Sistemas Aplicaciones Asociadas
Proceso
CALIFICACIOacuteN DE CONTROLES DE ENTRADA
Actividad
RECOMENDACIONES
Procesamiento
Automaacutetico (A)Manual (M)
Frecuencia
Adiestramiento Proceso Sistema N y P Otros
Negocio Area Localidad
Responsable
Nombre CargoNombre Cargo
NOMBRE
ELABORADO POR
CARGO FIRMA
Calidad de Data (B) Buena (R) Regular (M) Mala Oportunidad (AT) A Tiempo (R) Retrasada Revisioacuten Aprobacioacuten (S) Si (N) NoLEYENDA
Calificacioacuten (F) Fuerte (M) Medio (B) Bajo
DescripcioacutenResponsableDescripcioacuten
Tarea
Descripcioacuten
FRECUENCIA DE LA TAREA Diaria (D) Semanal (S) Mensual (M) Trimestral (T) Anual (A) Ocasional (O)
Soportes Recepcioacuten (P) Papel (E) Electroacutenico Archivo (S) Si (N) No Soportes Enviacuteo (S) Si (N) No Backup (S) Si (N) No
Producto (s) Cliente ReceptorControl
de salida
SoportesFrecuencia
Recepcioacuten Backup
DOCUMENTOS SISTEMAS ASOCIADOS A LOS CONTROLES
CALIFICACIOacuteN DE CONTROLES (por parte del Cliente Receptor)
Revisioacuten
Aprobacioacuten
Revisioacuten
AprobacioacutenTipo de control
Procesamiento
Automaacutetico (A)Manual (M)
Control
De EntradaTipo de control
Soportes
Recepcioacuten Archivo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 98
DATOS BAacuteSICOS
TareaActividad
Proceso Responsable del Proceso
Fecha de Elaboracioacuten 2015
Accioacuten (es) Responsable (s)
OBSERVACIONES ELABORADO POR
FIRMA
NOMBRE
Plan de recuperacioacuten y Reactivacioacuten de Finanzas
Recomendaciones Acciones
La Cadena de Valor de una Organizacioacuten de Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 99
ASESORAR EN CONTROLES DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR DELEGACIONES FINANCIERAS
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
CONTROLAR SEGURIDAD SISTEMA
OPERACIONALES ADMINISTRATIVOS Y OTROS
SISTEMAS FINANCIEROS
DESARROLLAR CONTROLES
DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR Y DESARROLLAR PLAN INTEGRAL DE CONTROL ( PIC )
Asesorar en controles de procesos normas y
Procedimientos
Administrar delegaciones financieras
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
Controlar seguridad sistema
operacionales administrativos y otros
sistemas financieros
Desarrollar
controles de
procesos
normas y
procedimientos
Administrar y desarrollar plan integral de control ( PIC )
SPAM
bull Se llama spam correo basura a los mensajes no solicitados no deseados o de remitente no conocido habitualmente de tipo publicitario generalmente enviados
en grandes cantidades que perjudican al receptor
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 61
Bomba Loacutegica
Son programas informaacuteticos que se instala en un ordenador y permanece oculto hasta cumplirse una o maacutes condiciones preprogramadas para en ese momento ejecutar una accioacuten
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 62
volver
VIRUS DE MACROS
bull Es una secuencia de oacuterdenes de teclado y ratoacuten asignadas a una sola tecla Los virus de macros afectan a archivos y plantillas que los contienen hacieacutendose pasar por una macro y no actuaraacuten hasta que el archivo se abra o utilice
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 63
VOLVER
VIRUS RESIDENTES
bull Se colocan automaacuteticamente en la memoria RAM del ordenador De este modo pueden controlar e interceptar todas las operaciones llevadas a cabo por el sistema operativo infectando todos aquellos ficheros yo programas que sean ejecutados abiertos cerrados renombrados copiados etc
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 64
VIRUS DE ENLACE
bull Modifican las direcciones que permiten a nivel interno acceder a cada uno de los archivos existentes y como consecuencia no es posible localizarlos y trabajar con ellos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 65
VOLVER
VIRUS MUTANTES
bull Son virus que mutan es decir x Debido a estas mutaciones cada generacioacuten de virus es diferente a la versioacuten anterior dificultando asiacute su deteccioacuten y eliminacioacuten
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 66
VIRUS DE BOOT
bull Se activan en el momento en el que se arranca el ordenador desde un disco infectado ya sea desde el disco duro o desde una memoria USB
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 67
VOLVER
VIRUS DE PROGRAMA
bull Comuacutenmente infectan archivos con extensiones EXE COM OVL DRV BIN DLL y SYS
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 68
VOLVER
VIRUS DE SOBREESCRITURA
bull Sobre-escriben en el interior de los archivos atacados haciendo que se pierda el contenido de los mismos
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 69
Ataques de Seguridad
bull Spyware Es un software de computadoraque al instalarse intercepta o toma controlparcial de la interaccioacuten de lacomputadora y el usuario esto sin que elmismo se de cuenta Estos programaspueden recolectar diferentes tipos deinformacioacuten de los usuarios asiacute comoinstalar software adicional sin elconsentimiento de los mismos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 70
71
Herramientas de Seguridad
bull Gusano Es un programa de computadora quepuede replicarse a si mismo utiliza la red paraenviar copias de si mismo a otros nodos y lopuede hacer sin la intervencioacuten del usuario
A diferencia de los ldquovirusrdquo los gusanos nonecesitan estar amarrados a un programa y sufuncioacuten es principalmente dantildear la red (ejdesempentildeo) mientras que los virus dantildeanarchivos en computadoras
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
72
Ataques de Seguridad
bull Caballo de Troya Es una programa que seinstala bajo la creencia de que se estainstalando alguna otra cosa Los troyanosson programas muy utilizados parainstalar programas tipo ldquobackdoorsrdquo quepermiten el acceso no autorizado a lacomputadora atacada un ejemplo deprogramas tipo backdoor son losKeyloogers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
73
Ataques de Seguridad
bull DoS Denial of service- Ataques quehacen indisponible un servicio a losusuarios
bull DDoS Son conocidos como DNSBackbone Distributed Denial ofServices ndash Ataques tienen comoblanco los servidores raiacutez DNS por lotanto afectan uno de los pilares delInternet los nombres de los dominios
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
74
Ataques de Seguridad
bull Footprinting Teacutecnica utilizada para reunir informacioacuten acerca de sistemas computacionales y las entidades a las que pertenece algunos ejemplos son
- Domain queries
- Network queries
- Organizational queries
- TCP scans
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
75
Ataques de Seguridad
bull Fingerprinting Tambieacuten es conocidocomo TCPIP stack fingerprinting y esutilizado para determinar que sistemaoperativo utiliza alguacuten blanco en la redExiste dos tipos de fingerprinting
- Pasivo- Activo
NMAP es una herramienta que utilizafingerprinting activo para mapearpuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
76
Ataques de Seguridad
bull Escaneo de puertos El escaneo depuertos se basa en el FingerprintingActivo es decir transmite y recibesentildeales como ICMP TELNET SNMPdesde un blanco determinado en lared esto con el fin de obtenerinformacioacuten de dicho blanco en estecaso informacioacuten acerca de suspuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
77
Ataques de Seguridad
bull Sniffing Para llevar a cabo el sniffing esnecesario contar con un ldquopacket snifferrdquoque puede ser software instalado en unacomputadora o un dispositivoindependiente (appliance) estedispositivo es utilizado para interceptar yregistrar traacutefico que pasa a traveacutes de unared o de un segmento de la misma(Puede ser de una red ethernet owireless)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
78
Ataques de Seguridad
bull Spoofing Los ataques tipo spoofing sonaquellos en los que una persona oprograma logra hacerse pasar por otrafalsificando informacioacuten o utilizando laingenieriacutea algunos ataques tipo spoofingson los siguientes
- Falsificacioacuten de direccioacuten de email
- Falsificacioacuten de ID de llamadas telefoacutenicas
- Falsificacioacuten de sitios de internet (phishing)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
79
Ataques de Seguridad
bull Phishing Es el uso de teacutecnicas deingenieriacutea social con la finalidad deadquirir de manera fraudulentainformacioacuten confidencial comonombres de usuarios contrasentildeasinformacioacuten de tarjetas de creacutedito
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
80
Ataques de Seguridad
bull Ingenieriacutea Social Se refiere a unacoleccioacuten de teacutecnicas utilizadas paramanipular a las personas para querealicen alguna accioacuten o divulgueninformacioacuten confidencial
Algunos ingenieros sociales notablesson
- Kevin Mitnik
- Frank Abagnale
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
Ingenieriacutea Social
Es el conjunto de meacutetodos y praacutecticas usados para obtener informacioacuten de usuarios legiacutetimos y con la informacioacuten obtenida lograr acceso a sistemas protegidos siendo esta praacutectica de uso comuacuten entre piratas informaacuteticos y delincuentes computacionales
Coacutemo me afecta Al no validar las referencias o no seguir el protocolo de seguridad adecuado para divulgar contrasentildeas o cualquier otra informacioacuten sensible podemos ser coacutemplices de un crimen Meacutexico ha acordado con organismos internacionales la homologacioacuten yo adecuacioacuten de coacutedigos penales para que estos delitos sean perseguidos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 81
Ingenieriacutea Social
Coacutemo puedo saber si estoy siendo viacutectima de un ingeniero social Muy simple cuando alguien nos pide alguacuten tipo de informacioacuten privilegiada y esta persona es insistente cuando le requerimos seguir un protocolo para validar su intencioacuten es altamente probable que estemos siendo viacutectimas de un intento de robo de informacioacuten por un ingeniero socialhacker
Coacutemo puedo evitarlo Sencillo si no confiamos en la persona que nos solicita los datos (supongamos un teacutecnico de soporte de nuestro lugar de trabajo) podemos pedirle que nos deje sus datos y comunicarnos con el 10 minutos despueacutes de validar que la peticioacuten es legiacutetima es decir soacutelo sigamos los protocolos que existen en el trabajo y crear los propios en casa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 82
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra los Sistemas que Utilizan Tecnologiacuteas de Informacioacuten
bull Artiacuteculo 6 Acceso indebido
bull Artiacuteculo 7 Sabotaje o dantildeo a sistemas
bull Artiacuteculo 8 Favorecimiento culposo del sabotaje o dantildeo
bull Artiacuteculo 9 Acceso indebido o sabotaje a sistemas protegidos
bull Artiacuteculo 10 Posesioacuten de equipos o prestacioacuten de servicios de sabotaje
bull Artiacuteculo 11 Espionaje informaacutetico
bull Artiacuteculo 12 Falsificacioacuten de documentos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 83
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Propiedad
bull Artiacuteculo 13 Hurto
bull Artiacuteculo 14 Fraude
bull Artiacuteculo 15 Obtencioacuten indebida de bienes o servicios
bull Artiacuteculo 16 Manejo fraudulento de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 17 Apropiacioacuten de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 18 Provisioacuten indebida de bienes o servicios
bull Artiacuteculo 19 Posesioacuten de equipo para falsificaciones
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 84
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Privacidad de las Personas y de las Comunicaciones
bullArtiacuteculo 20 Violacioacuten de la privacidad de la data o informacioacuten de caraacutecter personal
bullArtiacuteculo 21 Violacioacuten de la privacidad de las comunicaciones
bullArtiacuteculo 22 Revelacioacuten indebida de data o informacioacuten de caraacutecter personal
De los Delitos Contra Nintildeos Nintildeas o Adolescentes
bullArtiacuteculo 23 Difusioacuten o exhibicioacuten de material pornograacutefico
bullArtiacuteculo 24 Exhibicioacuten pornograacutefica de nintildeos o adolescentes
De los Delitos Contra el Orden Econoacutemico
bullArtiacuteculo 25 Apropiacioacuten de propiedad intelectual
bullArtiacuteculo 26 Oferta engantildeosa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 85
Plan de Contingencia Continuidad Operacional
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 86
Plan de Contingencia
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 87
ldquoConjunto de Normas y Procedimientos documentadosy comunicados que tienen por objetivo minimizar los riesgos informaacuteticos mas probablesrdquo
InvolucrabullUso de herramientas
bullCumplimiento de Tareas por
parte de personas
Plan de Contingencia
Consta de tres subplanes independientes
bull Plan de Respaldo crear y conservar en un lugar seguro copias de seguridad de la informacioacuten
bull Pla de Emergencia queacute medidas tomar cuando se estaacute materializando una amenaza o cuando acaba de producirse
bull Plan de Recuperacioacuten medidas que se aplicaran cuando se ha producido un desastre El objetivo es evaluar el impacto y regresar lo antes posible
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 88
Plan de Contingencia
En la elaboracioacuten de este plan no se puede dejar por fuera a los miembros de la organizacioacuten el cual debe estar informado y entrenado para actuar en las funciones que le hayan sido encomendadas en caso de producirse una amenaza o impacto
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 89
Continuidad Operacional
Business Continuity Planning (Plan de Continuidad de negocios)
bull Plan Baacutesico
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Coldsite)
bull Plan Intermedio
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan Alto
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan de respuesta y continuidad de negocios alternativo (sin asistencia de sistemas)
bull Stress Testing al Plan
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 90
El Stress Testing
bull Poner a prueba el planbull Revise y evalueacute
bull Respaldosbull Oportunidad integridad y funcionalidadbull Custodia y transporte
bull Cold y Hotsitebull Funcionalidad accesibilidad y compatibilidadbull Actualizacioacuten oportuna (hotsite)
bull Personalbull Roles y funcionesbull Accesibilidad (contactos y comunicaciones)
bull Simulacioacuten de cataacutestrofesbull Sin previo aviso el director encargado del BCP se presenta en el centro de computo
cronometro en mano y baja la cuchilla de electricidad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 91
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de Lehman Brothers
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el WorldTrade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehman se desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del World Trade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehman teniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 92
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de LehmanBrothers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 93
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el World Trade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehmanse desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 94
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del WorldTrade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehmanteniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 95
La Contingencia Manual la Uacuteltima Frontera
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 96
05062015 97
DATOS BAacuteSICOS
Responsable A Nivel Corporativo Responsable(s) A Nivel Regional
PROVEEDOR (ES)
Origen Responsable Insumo (s)
RESULTADOS
Normas y Procedimientos Asociados Fecha uacuteltima revisioacuten Sistemas Aplicaciones Asociadas
Proceso
CALIFICACIOacuteN DE CONTROLES DE ENTRADA
Actividad
RECOMENDACIONES
Procesamiento
Automaacutetico (A)Manual (M)
Frecuencia
Adiestramiento Proceso Sistema N y P Otros
Negocio Area Localidad
Responsable
Nombre CargoNombre Cargo
NOMBRE
ELABORADO POR
CARGO FIRMA
Calidad de Data (B) Buena (R) Regular (M) Mala Oportunidad (AT) A Tiempo (R) Retrasada Revisioacuten Aprobacioacuten (S) Si (N) NoLEYENDA
Calificacioacuten (F) Fuerte (M) Medio (B) Bajo
DescripcioacutenResponsableDescripcioacuten
Tarea
Descripcioacuten
FRECUENCIA DE LA TAREA Diaria (D) Semanal (S) Mensual (M) Trimestral (T) Anual (A) Ocasional (O)
Soportes Recepcioacuten (P) Papel (E) Electroacutenico Archivo (S) Si (N) No Soportes Enviacuteo (S) Si (N) No Backup (S) Si (N) No
Producto (s) Cliente ReceptorControl
de salida
SoportesFrecuencia
Recepcioacuten Backup
DOCUMENTOS SISTEMAS ASOCIADOS A LOS CONTROLES
CALIFICACIOacuteN DE CONTROLES (por parte del Cliente Receptor)
Revisioacuten
Aprobacioacuten
Revisioacuten
AprobacioacutenTipo de control
Procesamiento
Automaacutetico (A)Manual (M)
Control
De EntradaTipo de control
Soportes
Recepcioacuten Archivo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 98
DATOS BAacuteSICOS
TareaActividad
Proceso Responsable del Proceso
Fecha de Elaboracioacuten 2015
Accioacuten (es) Responsable (s)
OBSERVACIONES ELABORADO POR
FIRMA
NOMBRE
Plan de recuperacioacuten y Reactivacioacuten de Finanzas
Recomendaciones Acciones
La Cadena de Valor de una Organizacioacuten de Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 99
ASESORAR EN CONTROLES DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR DELEGACIONES FINANCIERAS
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
CONTROLAR SEGURIDAD SISTEMA
OPERACIONALES ADMINISTRATIVOS Y OTROS
SISTEMAS FINANCIEROS
DESARROLLAR CONTROLES
DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR Y DESARROLLAR PLAN INTEGRAL DE CONTROL ( PIC )
Asesorar en controles de procesos normas y
Procedimientos
Administrar delegaciones financieras
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
Controlar seguridad sistema
operacionales administrativos y otros
sistemas financieros
Desarrollar
controles de
procesos
normas y
procedimientos
Administrar y desarrollar plan integral de control ( PIC )
Bomba Loacutegica
Son programas informaacuteticos que se instala en un ordenador y permanece oculto hasta cumplirse una o maacutes condiciones preprogramadas para en ese momento ejecutar una accioacuten
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 62
volver
VIRUS DE MACROS
bull Es una secuencia de oacuterdenes de teclado y ratoacuten asignadas a una sola tecla Los virus de macros afectan a archivos y plantillas que los contienen hacieacutendose pasar por una macro y no actuaraacuten hasta que el archivo se abra o utilice
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 63
VOLVER
VIRUS RESIDENTES
bull Se colocan automaacuteticamente en la memoria RAM del ordenador De este modo pueden controlar e interceptar todas las operaciones llevadas a cabo por el sistema operativo infectando todos aquellos ficheros yo programas que sean ejecutados abiertos cerrados renombrados copiados etc
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 64
VIRUS DE ENLACE
bull Modifican las direcciones que permiten a nivel interno acceder a cada uno de los archivos existentes y como consecuencia no es posible localizarlos y trabajar con ellos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 65
VOLVER
VIRUS MUTANTES
bull Son virus que mutan es decir x Debido a estas mutaciones cada generacioacuten de virus es diferente a la versioacuten anterior dificultando asiacute su deteccioacuten y eliminacioacuten
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 66
VIRUS DE BOOT
bull Se activan en el momento en el que se arranca el ordenador desde un disco infectado ya sea desde el disco duro o desde una memoria USB
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 67
VOLVER
VIRUS DE PROGRAMA
bull Comuacutenmente infectan archivos con extensiones EXE COM OVL DRV BIN DLL y SYS
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 68
VOLVER
VIRUS DE SOBREESCRITURA
bull Sobre-escriben en el interior de los archivos atacados haciendo que se pierda el contenido de los mismos
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 69
Ataques de Seguridad
bull Spyware Es un software de computadoraque al instalarse intercepta o toma controlparcial de la interaccioacuten de lacomputadora y el usuario esto sin que elmismo se de cuenta Estos programaspueden recolectar diferentes tipos deinformacioacuten de los usuarios asiacute comoinstalar software adicional sin elconsentimiento de los mismos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 70
71
Herramientas de Seguridad
bull Gusano Es un programa de computadora quepuede replicarse a si mismo utiliza la red paraenviar copias de si mismo a otros nodos y lopuede hacer sin la intervencioacuten del usuario
A diferencia de los ldquovirusrdquo los gusanos nonecesitan estar amarrados a un programa y sufuncioacuten es principalmente dantildear la red (ejdesempentildeo) mientras que los virus dantildeanarchivos en computadoras
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
72
Ataques de Seguridad
bull Caballo de Troya Es una programa que seinstala bajo la creencia de que se estainstalando alguna otra cosa Los troyanosson programas muy utilizados parainstalar programas tipo ldquobackdoorsrdquo quepermiten el acceso no autorizado a lacomputadora atacada un ejemplo deprogramas tipo backdoor son losKeyloogers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
73
Ataques de Seguridad
bull DoS Denial of service- Ataques quehacen indisponible un servicio a losusuarios
bull DDoS Son conocidos como DNSBackbone Distributed Denial ofServices ndash Ataques tienen comoblanco los servidores raiacutez DNS por lotanto afectan uno de los pilares delInternet los nombres de los dominios
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
74
Ataques de Seguridad
bull Footprinting Teacutecnica utilizada para reunir informacioacuten acerca de sistemas computacionales y las entidades a las que pertenece algunos ejemplos son
- Domain queries
- Network queries
- Organizational queries
- TCP scans
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
75
Ataques de Seguridad
bull Fingerprinting Tambieacuten es conocidocomo TCPIP stack fingerprinting y esutilizado para determinar que sistemaoperativo utiliza alguacuten blanco en la redExiste dos tipos de fingerprinting
- Pasivo- Activo
NMAP es una herramienta que utilizafingerprinting activo para mapearpuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
76
Ataques de Seguridad
bull Escaneo de puertos El escaneo depuertos se basa en el FingerprintingActivo es decir transmite y recibesentildeales como ICMP TELNET SNMPdesde un blanco determinado en lared esto con el fin de obtenerinformacioacuten de dicho blanco en estecaso informacioacuten acerca de suspuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
77
Ataques de Seguridad
bull Sniffing Para llevar a cabo el sniffing esnecesario contar con un ldquopacket snifferrdquoque puede ser software instalado en unacomputadora o un dispositivoindependiente (appliance) estedispositivo es utilizado para interceptar yregistrar traacutefico que pasa a traveacutes de unared o de un segmento de la misma(Puede ser de una red ethernet owireless)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
78
Ataques de Seguridad
bull Spoofing Los ataques tipo spoofing sonaquellos en los que una persona oprograma logra hacerse pasar por otrafalsificando informacioacuten o utilizando laingenieriacutea algunos ataques tipo spoofingson los siguientes
- Falsificacioacuten de direccioacuten de email
- Falsificacioacuten de ID de llamadas telefoacutenicas
- Falsificacioacuten de sitios de internet (phishing)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
79
Ataques de Seguridad
bull Phishing Es el uso de teacutecnicas deingenieriacutea social con la finalidad deadquirir de manera fraudulentainformacioacuten confidencial comonombres de usuarios contrasentildeasinformacioacuten de tarjetas de creacutedito
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
80
Ataques de Seguridad
bull Ingenieriacutea Social Se refiere a unacoleccioacuten de teacutecnicas utilizadas paramanipular a las personas para querealicen alguna accioacuten o divulgueninformacioacuten confidencial
Algunos ingenieros sociales notablesson
- Kevin Mitnik
- Frank Abagnale
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
Ingenieriacutea Social
Es el conjunto de meacutetodos y praacutecticas usados para obtener informacioacuten de usuarios legiacutetimos y con la informacioacuten obtenida lograr acceso a sistemas protegidos siendo esta praacutectica de uso comuacuten entre piratas informaacuteticos y delincuentes computacionales
Coacutemo me afecta Al no validar las referencias o no seguir el protocolo de seguridad adecuado para divulgar contrasentildeas o cualquier otra informacioacuten sensible podemos ser coacutemplices de un crimen Meacutexico ha acordado con organismos internacionales la homologacioacuten yo adecuacioacuten de coacutedigos penales para que estos delitos sean perseguidos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 81
Ingenieriacutea Social
Coacutemo puedo saber si estoy siendo viacutectima de un ingeniero social Muy simple cuando alguien nos pide alguacuten tipo de informacioacuten privilegiada y esta persona es insistente cuando le requerimos seguir un protocolo para validar su intencioacuten es altamente probable que estemos siendo viacutectimas de un intento de robo de informacioacuten por un ingeniero socialhacker
Coacutemo puedo evitarlo Sencillo si no confiamos en la persona que nos solicita los datos (supongamos un teacutecnico de soporte de nuestro lugar de trabajo) podemos pedirle que nos deje sus datos y comunicarnos con el 10 minutos despueacutes de validar que la peticioacuten es legiacutetima es decir soacutelo sigamos los protocolos que existen en el trabajo y crear los propios en casa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 82
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra los Sistemas que Utilizan Tecnologiacuteas de Informacioacuten
bull Artiacuteculo 6 Acceso indebido
bull Artiacuteculo 7 Sabotaje o dantildeo a sistemas
bull Artiacuteculo 8 Favorecimiento culposo del sabotaje o dantildeo
bull Artiacuteculo 9 Acceso indebido o sabotaje a sistemas protegidos
bull Artiacuteculo 10 Posesioacuten de equipos o prestacioacuten de servicios de sabotaje
bull Artiacuteculo 11 Espionaje informaacutetico
bull Artiacuteculo 12 Falsificacioacuten de documentos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 83
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Propiedad
bull Artiacuteculo 13 Hurto
bull Artiacuteculo 14 Fraude
bull Artiacuteculo 15 Obtencioacuten indebida de bienes o servicios
bull Artiacuteculo 16 Manejo fraudulento de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 17 Apropiacioacuten de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 18 Provisioacuten indebida de bienes o servicios
bull Artiacuteculo 19 Posesioacuten de equipo para falsificaciones
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 84
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Privacidad de las Personas y de las Comunicaciones
bullArtiacuteculo 20 Violacioacuten de la privacidad de la data o informacioacuten de caraacutecter personal
bullArtiacuteculo 21 Violacioacuten de la privacidad de las comunicaciones
bullArtiacuteculo 22 Revelacioacuten indebida de data o informacioacuten de caraacutecter personal
De los Delitos Contra Nintildeos Nintildeas o Adolescentes
bullArtiacuteculo 23 Difusioacuten o exhibicioacuten de material pornograacutefico
bullArtiacuteculo 24 Exhibicioacuten pornograacutefica de nintildeos o adolescentes
De los Delitos Contra el Orden Econoacutemico
bullArtiacuteculo 25 Apropiacioacuten de propiedad intelectual
bullArtiacuteculo 26 Oferta engantildeosa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 85
Plan de Contingencia Continuidad Operacional
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 86
Plan de Contingencia
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 87
ldquoConjunto de Normas y Procedimientos documentadosy comunicados que tienen por objetivo minimizar los riesgos informaacuteticos mas probablesrdquo
InvolucrabullUso de herramientas
bullCumplimiento de Tareas por
parte de personas
Plan de Contingencia
Consta de tres subplanes independientes
bull Plan de Respaldo crear y conservar en un lugar seguro copias de seguridad de la informacioacuten
bull Pla de Emergencia queacute medidas tomar cuando se estaacute materializando una amenaza o cuando acaba de producirse
bull Plan de Recuperacioacuten medidas que se aplicaran cuando se ha producido un desastre El objetivo es evaluar el impacto y regresar lo antes posible
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 88
Plan de Contingencia
En la elaboracioacuten de este plan no se puede dejar por fuera a los miembros de la organizacioacuten el cual debe estar informado y entrenado para actuar en las funciones que le hayan sido encomendadas en caso de producirse una amenaza o impacto
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 89
Continuidad Operacional
Business Continuity Planning (Plan de Continuidad de negocios)
bull Plan Baacutesico
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Coldsite)
bull Plan Intermedio
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan Alto
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan de respuesta y continuidad de negocios alternativo (sin asistencia de sistemas)
bull Stress Testing al Plan
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 90
El Stress Testing
bull Poner a prueba el planbull Revise y evalueacute
bull Respaldosbull Oportunidad integridad y funcionalidadbull Custodia y transporte
bull Cold y Hotsitebull Funcionalidad accesibilidad y compatibilidadbull Actualizacioacuten oportuna (hotsite)
bull Personalbull Roles y funcionesbull Accesibilidad (contactos y comunicaciones)
bull Simulacioacuten de cataacutestrofesbull Sin previo aviso el director encargado del BCP se presenta en el centro de computo
cronometro en mano y baja la cuchilla de electricidad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 91
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de Lehman Brothers
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el WorldTrade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehman se desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del World Trade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehman teniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 92
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de LehmanBrothers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 93
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el World Trade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehmanse desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 94
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del WorldTrade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehmanteniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 95
La Contingencia Manual la Uacuteltima Frontera
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 96
05062015 97
DATOS BAacuteSICOS
Responsable A Nivel Corporativo Responsable(s) A Nivel Regional
PROVEEDOR (ES)
Origen Responsable Insumo (s)
RESULTADOS
Normas y Procedimientos Asociados Fecha uacuteltima revisioacuten Sistemas Aplicaciones Asociadas
Proceso
CALIFICACIOacuteN DE CONTROLES DE ENTRADA
Actividad
RECOMENDACIONES
Procesamiento
Automaacutetico (A)Manual (M)
Frecuencia
Adiestramiento Proceso Sistema N y P Otros
Negocio Area Localidad
Responsable
Nombre CargoNombre Cargo
NOMBRE
ELABORADO POR
CARGO FIRMA
Calidad de Data (B) Buena (R) Regular (M) Mala Oportunidad (AT) A Tiempo (R) Retrasada Revisioacuten Aprobacioacuten (S) Si (N) NoLEYENDA
Calificacioacuten (F) Fuerte (M) Medio (B) Bajo
DescripcioacutenResponsableDescripcioacuten
Tarea
Descripcioacuten
FRECUENCIA DE LA TAREA Diaria (D) Semanal (S) Mensual (M) Trimestral (T) Anual (A) Ocasional (O)
Soportes Recepcioacuten (P) Papel (E) Electroacutenico Archivo (S) Si (N) No Soportes Enviacuteo (S) Si (N) No Backup (S) Si (N) No
Producto (s) Cliente ReceptorControl
de salida
SoportesFrecuencia
Recepcioacuten Backup
DOCUMENTOS SISTEMAS ASOCIADOS A LOS CONTROLES
CALIFICACIOacuteN DE CONTROLES (por parte del Cliente Receptor)
Revisioacuten
Aprobacioacuten
Revisioacuten
AprobacioacutenTipo de control
Procesamiento
Automaacutetico (A)Manual (M)
Control
De EntradaTipo de control
Soportes
Recepcioacuten Archivo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 98
DATOS BAacuteSICOS
TareaActividad
Proceso Responsable del Proceso
Fecha de Elaboracioacuten 2015
Accioacuten (es) Responsable (s)
OBSERVACIONES ELABORADO POR
FIRMA
NOMBRE
Plan de recuperacioacuten y Reactivacioacuten de Finanzas
Recomendaciones Acciones
La Cadena de Valor de una Organizacioacuten de Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 99
ASESORAR EN CONTROLES DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR DELEGACIONES FINANCIERAS
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
CONTROLAR SEGURIDAD SISTEMA
OPERACIONALES ADMINISTRATIVOS Y OTROS
SISTEMAS FINANCIEROS
DESARROLLAR CONTROLES
DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR Y DESARROLLAR PLAN INTEGRAL DE CONTROL ( PIC )
Asesorar en controles de procesos normas y
Procedimientos
Administrar delegaciones financieras
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
Controlar seguridad sistema
operacionales administrativos y otros
sistemas financieros
Desarrollar
controles de
procesos
normas y
procedimientos
Administrar y desarrollar plan integral de control ( PIC )
VIRUS DE MACROS
bull Es una secuencia de oacuterdenes de teclado y ratoacuten asignadas a una sola tecla Los virus de macros afectan a archivos y plantillas que los contienen hacieacutendose pasar por una macro y no actuaraacuten hasta que el archivo se abra o utilice
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 63
VOLVER
VIRUS RESIDENTES
bull Se colocan automaacuteticamente en la memoria RAM del ordenador De este modo pueden controlar e interceptar todas las operaciones llevadas a cabo por el sistema operativo infectando todos aquellos ficheros yo programas que sean ejecutados abiertos cerrados renombrados copiados etc
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 64
VIRUS DE ENLACE
bull Modifican las direcciones que permiten a nivel interno acceder a cada uno de los archivos existentes y como consecuencia no es posible localizarlos y trabajar con ellos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 65
VOLVER
VIRUS MUTANTES
bull Son virus que mutan es decir x Debido a estas mutaciones cada generacioacuten de virus es diferente a la versioacuten anterior dificultando asiacute su deteccioacuten y eliminacioacuten
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 66
VIRUS DE BOOT
bull Se activan en el momento en el que se arranca el ordenador desde un disco infectado ya sea desde el disco duro o desde una memoria USB
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 67
VOLVER
VIRUS DE PROGRAMA
bull Comuacutenmente infectan archivos con extensiones EXE COM OVL DRV BIN DLL y SYS
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 68
VOLVER
VIRUS DE SOBREESCRITURA
bull Sobre-escriben en el interior de los archivos atacados haciendo que se pierda el contenido de los mismos
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 69
Ataques de Seguridad
bull Spyware Es un software de computadoraque al instalarse intercepta o toma controlparcial de la interaccioacuten de lacomputadora y el usuario esto sin que elmismo se de cuenta Estos programaspueden recolectar diferentes tipos deinformacioacuten de los usuarios asiacute comoinstalar software adicional sin elconsentimiento de los mismos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 70
71
Herramientas de Seguridad
bull Gusano Es un programa de computadora quepuede replicarse a si mismo utiliza la red paraenviar copias de si mismo a otros nodos y lopuede hacer sin la intervencioacuten del usuario
A diferencia de los ldquovirusrdquo los gusanos nonecesitan estar amarrados a un programa y sufuncioacuten es principalmente dantildear la red (ejdesempentildeo) mientras que los virus dantildeanarchivos en computadoras
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
72
Ataques de Seguridad
bull Caballo de Troya Es una programa que seinstala bajo la creencia de que se estainstalando alguna otra cosa Los troyanosson programas muy utilizados parainstalar programas tipo ldquobackdoorsrdquo quepermiten el acceso no autorizado a lacomputadora atacada un ejemplo deprogramas tipo backdoor son losKeyloogers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
73
Ataques de Seguridad
bull DoS Denial of service- Ataques quehacen indisponible un servicio a losusuarios
bull DDoS Son conocidos como DNSBackbone Distributed Denial ofServices ndash Ataques tienen comoblanco los servidores raiacutez DNS por lotanto afectan uno de los pilares delInternet los nombres de los dominios
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
74
Ataques de Seguridad
bull Footprinting Teacutecnica utilizada para reunir informacioacuten acerca de sistemas computacionales y las entidades a las que pertenece algunos ejemplos son
- Domain queries
- Network queries
- Organizational queries
- TCP scans
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
75
Ataques de Seguridad
bull Fingerprinting Tambieacuten es conocidocomo TCPIP stack fingerprinting y esutilizado para determinar que sistemaoperativo utiliza alguacuten blanco en la redExiste dos tipos de fingerprinting
- Pasivo- Activo
NMAP es una herramienta que utilizafingerprinting activo para mapearpuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
76
Ataques de Seguridad
bull Escaneo de puertos El escaneo depuertos se basa en el FingerprintingActivo es decir transmite y recibesentildeales como ICMP TELNET SNMPdesde un blanco determinado en lared esto con el fin de obtenerinformacioacuten de dicho blanco en estecaso informacioacuten acerca de suspuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
77
Ataques de Seguridad
bull Sniffing Para llevar a cabo el sniffing esnecesario contar con un ldquopacket snifferrdquoque puede ser software instalado en unacomputadora o un dispositivoindependiente (appliance) estedispositivo es utilizado para interceptar yregistrar traacutefico que pasa a traveacutes de unared o de un segmento de la misma(Puede ser de una red ethernet owireless)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
78
Ataques de Seguridad
bull Spoofing Los ataques tipo spoofing sonaquellos en los que una persona oprograma logra hacerse pasar por otrafalsificando informacioacuten o utilizando laingenieriacutea algunos ataques tipo spoofingson los siguientes
- Falsificacioacuten de direccioacuten de email
- Falsificacioacuten de ID de llamadas telefoacutenicas
- Falsificacioacuten de sitios de internet (phishing)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
79
Ataques de Seguridad
bull Phishing Es el uso de teacutecnicas deingenieriacutea social con la finalidad deadquirir de manera fraudulentainformacioacuten confidencial comonombres de usuarios contrasentildeasinformacioacuten de tarjetas de creacutedito
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
80
Ataques de Seguridad
bull Ingenieriacutea Social Se refiere a unacoleccioacuten de teacutecnicas utilizadas paramanipular a las personas para querealicen alguna accioacuten o divulgueninformacioacuten confidencial
Algunos ingenieros sociales notablesson
- Kevin Mitnik
- Frank Abagnale
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
Ingenieriacutea Social
Es el conjunto de meacutetodos y praacutecticas usados para obtener informacioacuten de usuarios legiacutetimos y con la informacioacuten obtenida lograr acceso a sistemas protegidos siendo esta praacutectica de uso comuacuten entre piratas informaacuteticos y delincuentes computacionales
Coacutemo me afecta Al no validar las referencias o no seguir el protocolo de seguridad adecuado para divulgar contrasentildeas o cualquier otra informacioacuten sensible podemos ser coacutemplices de un crimen Meacutexico ha acordado con organismos internacionales la homologacioacuten yo adecuacioacuten de coacutedigos penales para que estos delitos sean perseguidos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 81
Ingenieriacutea Social
Coacutemo puedo saber si estoy siendo viacutectima de un ingeniero social Muy simple cuando alguien nos pide alguacuten tipo de informacioacuten privilegiada y esta persona es insistente cuando le requerimos seguir un protocolo para validar su intencioacuten es altamente probable que estemos siendo viacutectimas de un intento de robo de informacioacuten por un ingeniero socialhacker
Coacutemo puedo evitarlo Sencillo si no confiamos en la persona que nos solicita los datos (supongamos un teacutecnico de soporte de nuestro lugar de trabajo) podemos pedirle que nos deje sus datos y comunicarnos con el 10 minutos despueacutes de validar que la peticioacuten es legiacutetima es decir soacutelo sigamos los protocolos que existen en el trabajo y crear los propios en casa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 82
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra los Sistemas que Utilizan Tecnologiacuteas de Informacioacuten
bull Artiacuteculo 6 Acceso indebido
bull Artiacuteculo 7 Sabotaje o dantildeo a sistemas
bull Artiacuteculo 8 Favorecimiento culposo del sabotaje o dantildeo
bull Artiacuteculo 9 Acceso indebido o sabotaje a sistemas protegidos
bull Artiacuteculo 10 Posesioacuten de equipos o prestacioacuten de servicios de sabotaje
bull Artiacuteculo 11 Espionaje informaacutetico
bull Artiacuteculo 12 Falsificacioacuten de documentos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 83
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Propiedad
bull Artiacuteculo 13 Hurto
bull Artiacuteculo 14 Fraude
bull Artiacuteculo 15 Obtencioacuten indebida de bienes o servicios
bull Artiacuteculo 16 Manejo fraudulento de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 17 Apropiacioacuten de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 18 Provisioacuten indebida de bienes o servicios
bull Artiacuteculo 19 Posesioacuten de equipo para falsificaciones
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 84
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Privacidad de las Personas y de las Comunicaciones
bullArtiacuteculo 20 Violacioacuten de la privacidad de la data o informacioacuten de caraacutecter personal
bullArtiacuteculo 21 Violacioacuten de la privacidad de las comunicaciones
bullArtiacuteculo 22 Revelacioacuten indebida de data o informacioacuten de caraacutecter personal
De los Delitos Contra Nintildeos Nintildeas o Adolescentes
bullArtiacuteculo 23 Difusioacuten o exhibicioacuten de material pornograacutefico
bullArtiacuteculo 24 Exhibicioacuten pornograacutefica de nintildeos o adolescentes
De los Delitos Contra el Orden Econoacutemico
bullArtiacuteculo 25 Apropiacioacuten de propiedad intelectual
bullArtiacuteculo 26 Oferta engantildeosa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 85
Plan de Contingencia Continuidad Operacional
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 86
Plan de Contingencia
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 87
ldquoConjunto de Normas y Procedimientos documentadosy comunicados que tienen por objetivo minimizar los riesgos informaacuteticos mas probablesrdquo
InvolucrabullUso de herramientas
bullCumplimiento de Tareas por
parte de personas
Plan de Contingencia
Consta de tres subplanes independientes
bull Plan de Respaldo crear y conservar en un lugar seguro copias de seguridad de la informacioacuten
bull Pla de Emergencia queacute medidas tomar cuando se estaacute materializando una amenaza o cuando acaba de producirse
bull Plan de Recuperacioacuten medidas que se aplicaran cuando se ha producido un desastre El objetivo es evaluar el impacto y regresar lo antes posible
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 88
Plan de Contingencia
En la elaboracioacuten de este plan no se puede dejar por fuera a los miembros de la organizacioacuten el cual debe estar informado y entrenado para actuar en las funciones que le hayan sido encomendadas en caso de producirse una amenaza o impacto
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 89
Continuidad Operacional
Business Continuity Planning (Plan de Continuidad de negocios)
bull Plan Baacutesico
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Coldsite)
bull Plan Intermedio
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan Alto
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan de respuesta y continuidad de negocios alternativo (sin asistencia de sistemas)
bull Stress Testing al Plan
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 90
El Stress Testing
bull Poner a prueba el planbull Revise y evalueacute
bull Respaldosbull Oportunidad integridad y funcionalidadbull Custodia y transporte
bull Cold y Hotsitebull Funcionalidad accesibilidad y compatibilidadbull Actualizacioacuten oportuna (hotsite)
bull Personalbull Roles y funcionesbull Accesibilidad (contactos y comunicaciones)
bull Simulacioacuten de cataacutestrofesbull Sin previo aviso el director encargado del BCP se presenta en el centro de computo
cronometro en mano y baja la cuchilla de electricidad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 91
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de Lehman Brothers
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el WorldTrade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehman se desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del World Trade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehman teniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 92
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de LehmanBrothers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 93
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el World Trade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehmanse desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 94
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del WorldTrade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehmanteniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 95
La Contingencia Manual la Uacuteltima Frontera
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 96
05062015 97
DATOS BAacuteSICOS
Responsable A Nivel Corporativo Responsable(s) A Nivel Regional
PROVEEDOR (ES)
Origen Responsable Insumo (s)
RESULTADOS
Normas y Procedimientos Asociados Fecha uacuteltima revisioacuten Sistemas Aplicaciones Asociadas
Proceso
CALIFICACIOacuteN DE CONTROLES DE ENTRADA
Actividad
RECOMENDACIONES
Procesamiento
Automaacutetico (A)Manual (M)
Frecuencia
Adiestramiento Proceso Sistema N y P Otros
Negocio Area Localidad
Responsable
Nombre CargoNombre Cargo
NOMBRE
ELABORADO POR
CARGO FIRMA
Calidad de Data (B) Buena (R) Regular (M) Mala Oportunidad (AT) A Tiempo (R) Retrasada Revisioacuten Aprobacioacuten (S) Si (N) NoLEYENDA
Calificacioacuten (F) Fuerte (M) Medio (B) Bajo
DescripcioacutenResponsableDescripcioacuten
Tarea
Descripcioacuten
FRECUENCIA DE LA TAREA Diaria (D) Semanal (S) Mensual (M) Trimestral (T) Anual (A) Ocasional (O)
Soportes Recepcioacuten (P) Papel (E) Electroacutenico Archivo (S) Si (N) No Soportes Enviacuteo (S) Si (N) No Backup (S) Si (N) No
Producto (s) Cliente ReceptorControl
de salida
SoportesFrecuencia
Recepcioacuten Backup
DOCUMENTOS SISTEMAS ASOCIADOS A LOS CONTROLES
CALIFICACIOacuteN DE CONTROLES (por parte del Cliente Receptor)
Revisioacuten
Aprobacioacuten
Revisioacuten
AprobacioacutenTipo de control
Procesamiento
Automaacutetico (A)Manual (M)
Control
De EntradaTipo de control
Soportes
Recepcioacuten Archivo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 98
DATOS BAacuteSICOS
TareaActividad
Proceso Responsable del Proceso
Fecha de Elaboracioacuten 2015
Accioacuten (es) Responsable (s)
OBSERVACIONES ELABORADO POR
FIRMA
NOMBRE
Plan de recuperacioacuten y Reactivacioacuten de Finanzas
Recomendaciones Acciones
La Cadena de Valor de una Organizacioacuten de Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 99
ASESORAR EN CONTROLES DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR DELEGACIONES FINANCIERAS
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
CONTROLAR SEGURIDAD SISTEMA
OPERACIONALES ADMINISTRATIVOS Y OTROS
SISTEMAS FINANCIEROS
DESARROLLAR CONTROLES
DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR Y DESARROLLAR PLAN INTEGRAL DE CONTROL ( PIC )
Asesorar en controles de procesos normas y
Procedimientos
Administrar delegaciones financieras
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
Controlar seguridad sistema
operacionales administrativos y otros
sistemas financieros
Desarrollar
controles de
procesos
normas y
procedimientos
Administrar y desarrollar plan integral de control ( PIC )
VIRUS RESIDENTES
bull Se colocan automaacuteticamente en la memoria RAM del ordenador De este modo pueden controlar e interceptar todas las operaciones llevadas a cabo por el sistema operativo infectando todos aquellos ficheros yo programas que sean ejecutados abiertos cerrados renombrados copiados etc
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 64
VIRUS DE ENLACE
bull Modifican las direcciones que permiten a nivel interno acceder a cada uno de los archivos existentes y como consecuencia no es posible localizarlos y trabajar con ellos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 65
VOLVER
VIRUS MUTANTES
bull Son virus que mutan es decir x Debido a estas mutaciones cada generacioacuten de virus es diferente a la versioacuten anterior dificultando asiacute su deteccioacuten y eliminacioacuten
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 66
VIRUS DE BOOT
bull Se activan en el momento en el que se arranca el ordenador desde un disco infectado ya sea desde el disco duro o desde una memoria USB
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 67
VOLVER
VIRUS DE PROGRAMA
bull Comuacutenmente infectan archivos con extensiones EXE COM OVL DRV BIN DLL y SYS
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 68
VOLVER
VIRUS DE SOBREESCRITURA
bull Sobre-escriben en el interior de los archivos atacados haciendo que se pierda el contenido de los mismos
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 69
Ataques de Seguridad
bull Spyware Es un software de computadoraque al instalarse intercepta o toma controlparcial de la interaccioacuten de lacomputadora y el usuario esto sin que elmismo se de cuenta Estos programaspueden recolectar diferentes tipos deinformacioacuten de los usuarios asiacute comoinstalar software adicional sin elconsentimiento de los mismos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 70
71
Herramientas de Seguridad
bull Gusano Es un programa de computadora quepuede replicarse a si mismo utiliza la red paraenviar copias de si mismo a otros nodos y lopuede hacer sin la intervencioacuten del usuario
A diferencia de los ldquovirusrdquo los gusanos nonecesitan estar amarrados a un programa y sufuncioacuten es principalmente dantildear la red (ejdesempentildeo) mientras que los virus dantildeanarchivos en computadoras
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
72
Ataques de Seguridad
bull Caballo de Troya Es una programa que seinstala bajo la creencia de que se estainstalando alguna otra cosa Los troyanosson programas muy utilizados parainstalar programas tipo ldquobackdoorsrdquo quepermiten el acceso no autorizado a lacomputadora atacada un ejemplo deprogramas tipo backdoor son losKeyloogers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
73
Ataques de Seguridad
bull DoS Denial of service- Ataques quehacen indisponible un servicio a losusuarios
bull DDoS Son conocidos como DNSBackbone Distributed Denial ofServices ndash Ataques tienen comoblanco los servidores raiacutez DNS por lotanto afectan uno de los pilares delInternet los nombres de los dominios
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
74
Ataques de Seguridad
bull Footprinting Teacutecnica utilizada para reunir informacioacuten acerca de sistemas computacionales y las entidades a las que pertenece algunos ejemplos son
- Domain queries
- Network queries
- Organizational queries
- TCP scans
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
75
Ataques de Seguridad
bull Fingerprinting Tambieacuten es conocidocomo TCPIP stack fingerprinting y esutilizado para determinar que sistemaoperativo utiliza alguacuten blanco en la redExiste dos tipos de fingerprinting
- Pasivo- Activo
NMAP es una herramienta que utilizafingerprinting activo para mapearpuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
76
Ataques de Seguridad
bull Escaneo de puertos El escaneo depuertos se basa en el FingerprintingActivo es decir transmite y recibesentildeales como ICMP TELNET SNMPdesde un blanco determinado en lared esto con el fin de obtenerinformacioacuten de dicho blanco en estecaso informacioacuten acerca de suspuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
77
Ataques de Seguridad
bull Sniffing Para llevar a cabo el sniffing esnecesario contar con un ldquopacket snifferrdquoque puede ser software instalado en unacomputadora o un dispositivoindependiente (appliance) estedispositivo es utilizado para interceptar yregistrar traacutefico que pasa a traveacutes de unared o de un segmento de la misma(Puede ser de una red ethernet owireless)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
78
Ataques de Seguridad
bull Spoofing Los ataques tipo spoofing sonaquellos en los que una persona oprograma logra hacerse pasar por otrafalsificando informacioacuten o utilizando laingenieriacutea algunos ataques tipo spoofingson los siguientes
- Falsificacioacuten de direccioacuten de email
- Falsificacioacuten de ID de llamadas telefoacutenicas
- Falsificacioacuten de sitios de internet (phishing)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
79
Ataques de Seguridad
bull Phishing Es el uso de teacutecnicas deingenieriacutea social con la finalidad deadquirir de manera fraudulentainformacioacuten confidencial comonombres de usuarios contrasentildeasinformacioacuten de tarjetas de creacutedito
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
80
Ataques de Seguridad
bull Ingenieriacutea Social Se refiere a unacoleccioacuten de teacutecnicas utilizadas paramanipular a las personas para querealicen alguna accioacuten o divulgueninformacioacuten confidencial
Algunos ingenieros sociales notablesson
- Kevin Mitnik
- Frank Abagnale
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
Ingenieriacutea Social
Es el conjunto de meacutetodos y praacutecticas usados para obtener informacioacuten de usuarios legiacutetimos y con la informacioacuten obtenida lograr acceso a sistemas protegidos siendo esta praacutectica de uso comuacuten entre piratas informaacuteticos y delincuentes computacionales
Coacutemo me afecta Al no validar las referencias o no seguir el protocolo de seguridad adecuado para divulgar contrasentildeas o cualquier otra informacioacuten sensible podemos ser coacutemplices de un crimen Meacutexico ha acordado con organismos internacionales la homologacioacuten yo adecuacioacuten de coacutedigos penales para que estos delitos sean perseguidos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 81
Ingenieriacutea Social
Coacutemo puedo saber si estoy siendo viacutectima de un ingeniero social Muy simple cuando alguien nos pide alguacuten tipo de informacioacuten privilegiada y esta persona es insistente cuando le requerimos seguir un protocolo para validar su intencioacuten es altamente probable que estemos siendo viacutectimas de un intento de robo de informacioacuten por un ingeniero socialhacker
Coacutemo puedo evitarlo Sencillo si no confiamos en la persona que nos solicita los datos (supongamos un teacutecnico de soporte de nuestro lugar de trabajo) podemos pedirle que nos deje sus datos y comunicarnos con el 10 minutos despueacutes de validar que la peticioacuten es legiacutetima es decir soacutelo sigamos los protocolos que existen en el trabajo y crear los propios en casa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 82
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra los Sistemas que Utilizan Tecnologiacuteas de Informacioacuten
bull Artiacuteculo 6 Acceso indebido
bull Artiacuteculo 7 Sabotaje o dantildeo a sistemas
bull Artiacuteculo 8 Favorecimiento culposo del sabotaje o dantildeo
bull Artiacuteculo 9 Acceso indebido o sabotaje a sistemas protegidos
bull Artiacuteculo 10 Posesioacuten de equipos o prestacioacuten de servicios de sabotaje
bull Artiacuteculo 11 Espionaje informaacutetico
bull Artiacuteculo 12 Falsificacioacuten de documentos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 83
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Propiedad
bull Artiacuteculo 13 Hurto
bull Artiacuteculo 14 Fraude
bull Artiacuteculo 15 Obtencioacuten indebida de bienes o servicios
bull Artiacuteculo 16 Manejo fraudulento de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 17 Apropiacioacuten de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 18 Provisioacuten indebida de bienes o servicios
bull Artiacuteculo 19 Posesioacuten de equipo para falsificaciones
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 84
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Privacidad de las Personas y de las Comunicaciones
bullArtiacuteculo 20 Violacioacuten de la privacidad de la data o informacioacuten de caraacutecter personal
bullArtiacuteculo 21 Violacioacuten de la privacidad de las comunicaciones
bullArtiacuteculo 22 Revelacioacuten indebida de data o informacioacuten de caraacutecter personal
De los Delitos Contra Nintildeos Nintildeas o Adolescentes
bullArtiacuteculo 23 Difusioacuten o exhibicioacuten de material pornograacutefico
bullArtiacuteculo 24 Exhibicioacuten pornograacutefica de nintildeos o adolescentes
De los Delitos Contra el Orden Econoacutemico
bullArtiacuteculo 25 Apropiacioacuten de propiedad intelectual
bullArtiacuteculo 26 Oferta engantildeosa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 85
Plan de Contingencia Continuidad Operacional
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 86
Plan de Contingencia
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 87
ldquoConjunto de Normas y Procedimientos documentadosy comunicados que tienen por objetivo minimizar los riesgos informaacuteticos mas probablesrdquo
InvolucrabullUso de herramientas
bullCumplimiento de Tareas por
parte de personas
Plan de Contingencia
Consta de tres subplanes independientes
bull Plan de Respaldo crear y conservar en un lugar seguro copias de seguridad de la informacioacuten
bull Pla de Emergencia queacute medidas tomar cuando se estaacute materializando una amenaza o cuando acaba de producirse
bull Plan de Recuperacioacuten medidas que se aplicaran cuando se ha producido un desastre El objetivo es evaluar el impacto y regresar lo antes posible
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 88
Plan de Contingencia
En la elaboracioacuten de este plan no se puede dejar por fuera a los miembros de la organizacioacuten el cual debe estar informado y entrenado para actuar en las funciones que le hayan sido encomendadas en caso de producirse una amenaza o impacto
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 89
Continuidad Operacional
Business Continuity Planning (Plan de Continuidad de negocios)
bull Plan Baacutesico
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Coldsite)
bull Plan Intermedio
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan Alto
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan de respuesta y continuidad de negocios alternativo (sin asistencia de sistemas)
bull Stress Testing al Plan
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 90
El Stress Testing
bull Poner a prueba el planbull Revise y evalueacute
bull Respaldosbull Oportunidad integridad y funcionalidadbull Custodia y transporte
bull Cold y Hotsitebull Funcionalidad accesibilidad y compatibilidadbull Actualizacioacuten oportuna (hotsite)
bull Personalbull Roles y funcionesbull Accesibilidad (contactos y comunicaciones)
bull Simulacioacuten de cataacutestrofesbull Sin previo aviso el director encargado del BCP se presenta en el centro de computo
cronometro en mano y baja la cuchilla de electricidad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 91
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de Lehman Brothers
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el WorldTrade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehman se desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del World Trade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehman teniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 92
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de LehmanBrothers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 93
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el World Trade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehmanse desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 94
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del WorldTrade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehmanteniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 95
La Contingencia Manual la Uacuteltima Frontera
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 96
05062015 97
DATOS BAacuteSICOS
Responsable A Nivel Corporativo Responsable(s) A Nivel Regional
PROVEEDOR (ES)
Origen Responsable Insumo (s)
RESULTADOS
Normas y Procedimientos Asociados Fecha uacuteltima revisioacuten Sistemas Aplicaciones Asociadas
Proceso
CALIFICACIOacuteN DE CONTROLES DE ENTRADA
Actividad
RECOMENDACIONES
Procesamiento
Automaacutetico (A)Manual (M)
Frecuencia
Adiestramiento Proceso Sistema N y P Otros
Negocio Area Localidad
Responsable
Nombre CargoNombre Cargo
NOMBRE
ELABORADO POR
CARGO FIRMA
Calidad de Data (B) Buena (R) Regular (M) Mala Oportunidad (AT) A Tiempo (R) Retrasada Revisioacuten Aprobacioacuten (S) Si (N) NoLEYENDA
Calificacioacuten (F) Fuerte (M) Medio (B) Bajo
DescripcioacutenResponsableDescripcioacuten
Tarea
Descripcioacuten
FRECUENCIA DE LA TAREA Diaria (D) Semanal (S) Mensual (M) Trimestral (T) Anual (A) Ocasional (O)
Soportes Recepcioacuten (P) Papel (E) Electroacutenico Archivo (S) Si (N) No Soportes Enviacuteo (S) Si (N) No Backup (S) Si (N) No
Producto (s) Cliente ReceptorControl
de salida
SoportesFrecuencia
Recepcioacuten Backup
DOCUMENTOS SISTEMAS ASOCIADOS A LOS CONTROLES
CALIFICACIOacuteN DE CONTROLES (por parte del Cliente Receptor)
Revisioacuten
Aprobacioacuten
Revisioacuten
AprobacioacutenTipo de control
Procesamiento
Automaacutetico (A)Manual (M)
Control
De EntradaTipo de control
Soportes
Recepcioacuten Archivo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 98
DATOS BAacuteSICOS
TareaActividad
Proceso Responsable del Proceso
Fecha de Elaboracioacuten 2015
Accioacuten (es) Responsable (s)
OBSERVACIONES ELABORADO POR
FIRMA
NOMBRE
Plan de recuperacioacuten y Reactivacioacuten de Finanzas
Recomendaciones Acciones
La Cadena de Valor de una Organizacioacuten de Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 99
ASESORAR EN CONTROLES DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR DELEGACIONES FINANCIERAS
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
CONTROLAR SEGURIDAD SISTEMA
OPERACIONALES ADMINISTRATIVOS Y OTROS
SISTEMAS FINANCIEROS
DESARROLLAR CONTROLES
DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR Y DESARROLLAR PLAN INTEGRAL DE CONTROL ( PIC )
Asesorar en controles de procesos normas y
Procedimientos
Administrar delegaciones financieras
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
Controlar seguridad sistema
operacionales administrativos y otros
sistemas financieros
Desarrollar
controles de
procesos
normas y
procedimientos
Administrar y desarrollar plan integral de control ( PIC )
VIRUS DE ENLACE
bull Modifican las direcciones que permiten a nivel interno acceder a cada uno de los archivos existentes y como consecuencia no es posible localizarlos y trabajar con ellos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 65
VOLVER
VIRUS MUTANTES
bull Son virus que mutan es decir x Debido a estas mutaciones cada generacioacuten de virus es diferente a la versioacuten anterior dificultando asiacute su deteccioacuten y eliminacioacuten
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 66
VIRUS DE BOOT
bull Se activan en el momento en el que se arranca el ordenador desde un disco infectado ya sea desde el disco duro o desde una memoria USB
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 67
VOLVER
VIRUS DE PROGRAMA
bull Comuacutenmente infectan archivos con extensiones EXE COM OVL DRV BIN DLL y SYS
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 68
VOLVER
VIRUS DE SOBREESCRITURA
bull Sobre-escriben en el interior de los archivos atacados haciendo que se pierda el contenido de los mismos
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 69
Ataques de Seguridad
bull Spyware Es un software de computadoraque al instalarse intercepta o toma controlparcial de la interaccioacuten de lacomputadora y el usuario esto sin que elmismo se de cuenta Estos programaspueden recolectar diferentes tipos deinformacioacuten de los usuarios asiacute comoinstalar software adicional sin elconsentimiento de los mismos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 70
71
Herramientas de Seguridad
bull Gusano Es un programa de computadora quepuede replicarse a si mismo utiliza la red paraenviar copias de si mismo a otros nodos y lopuede hacer sin la intervencioacuten del usuario
A diferencia de los ldquovirusrdquo los gusanos nonecesitan estar amarrados a un programa y sufuncioacuten es principalmente dantildear la red (ejdesempentildeo) mientras que los virus dantildeanarchivos en computadoras
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
72
Ataques de Seguridad
bull Caballo de Troya Es una programa que seinstala bajo la creencia de que se estainstalando alguna otra cosa Los troyanosson programas muy utilizados parainstalar programas tipo ldquobackdoorsrdquo quepermiten el acceso no autorizado a lacomputadora atacada un ejemplo deprogramas tipo backdoor son losKeyloogers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
73
Ataques de Seguridad
bull DoS Denial of service- Ataques quehacen indisponible un servicio a losusuarios
bull DDoS Son conocidos como DNSBackbone Distributed Denial ofServices ndash Ataques tienen comoblanco los servidores raiacutez DNS por lotanto afectan uno de los pilares delInternet los nombres de los dominios
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
74
Ataques de Seguridad
bull Footprinting Teacutecnica utilizada para reunir informacioacuten acerca de sistemas computacionales y las entidades a las que pertenece algunos ejemplos son
- Domain queries
- Network queries
- Organizational queries
- TCP scans
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
75
Ataques de Seguridad
bull Fingerprinting Tambieacuten es conocidocomo TCPIP stack fingerprinting y esutilizado para determinar que sistemaoperativo utiliza alguacuten blanco en la redExiste dos tipos de fingerprinting
- Pasivo- Activo
NMAP es una herramienta que utilizafingerprinting activo para mapearpuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
76
Ataques de Seguridad
bull Escaneo de puertos El escaneo depuertos se basa en el FingerprintingActivo es decir transmite y recibesentildeales como ICMP TELNET SNMPdesde un blanco determinado en lared esto con el fin de obtenerinformacioacuten de dicho blanco en estecaso informacioacuten acerca de suspuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
77
Ataques de Seguridad
bull Sniffing Para llevar a cabo el sniffing esnecesario contar con un ldquopacket snifferrdquoque puede ser software instalado en unacomputadora o un dispositivoindependiente (appliance) estedispositivo es utilizado para interceptar yregistrar traacutefico que pasa a traveacutes de unared o de un segmento de la misma(Puede ser de una red ethernet owireless)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
78
Ataques de Seguridad
bull Spoofing Los ataques tipo spoofing sonaquellos en los que una persona oprograma logra hacerse pasar por otrafalsificando informacioacuten o utilizando laingenieriacutea algunos ataques tipo spoofingson los siguientes
- Falsificacioacuten de direccioacuten de email
- Falsificacioacuten de ID de llamadas telefoacutenicas
- Falsificacioacuten de sitios de internet (phishing)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
79
Ataques de Seguridad
bull Phishing Es el uso de teacutecnicas deingenieriacutea social con la finalidad deadquirir de manera fraudulentainformacioacuten confidencial comonombres de usuarios contrasentildeasinformacioacuten de tarjetas de creacutedito
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
80
Ataques de Seguridad
bull Ingenieriacutea Social Se refiere a unacoleccioacuten de teacutecnicas utilizadas paramanipular a las personas para querealicen alguna accioacuten o divulgueninformacioacuten confidencial
Algunos ingenieros sociales notablesson
- Kevin Mitnik
- Frank Abagnale
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
Ingenieriacutea Social
Es el conjunto de meacutetodos y praacutecticas usados para obtener informacioacuten de usuarios legiacutetimos y con la informacioacuten obtenida lograr acceso a sistemas protegidos siendo esta praacutectica de uso comuacuten entre piratas informaacuteticos y delincuentes computacionales
Coacutemo me afecta Al no validar las referencias o no seguir el protocolo de seguridad adecuado para divulgar contrasentildeas o cualquier otra informacioacuten sensible podemos ser coacutemplices de un crimen Meacutexico ha acordado con organismos internacionales la homologacioacuten yo adecuacioacuten de coacutedigos penales para que estos delitos sean perseguidos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 81
Ingenieriacutea Social
Coacutemo puedo saber si estoy siendo viacutectima de un ingeniero social Muy simple cuando alguien nos pide alguacuten tipo de informacioacuten privilegiada y esta persona es insistente cuando le requerimos seguir un protocolo para validar su intencioacuten es altamente probable que estemos siendo viacutectimas de un intento de robo de informacioacuten por un ingeniero socialhacker
Coacutemo puedo evitarlo Sencillo si no confiamos en la persona que nos solicita los datos (supongamos un teacutecnico de soporte de nuestro lugar de trabajo) podemos pedirle que nos deje sus datos y comunicarnos con el 10 minutos despueacutes de validar que la peticioacuten es legiacutetima es decir soacutelo sigamos los protocolos que existen en el trabajo y crear los propios en casa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 82
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra los Sistemas que Utilizan Tecnologiacuteas de Informacioacuten
bull Artiacuteculo 6 Acceso indebido
bull Artiacuteculo 7 Sabotaje o dantildeo a sistemas
bull Artiacuteculo 8 Favorecimiento culposo del sabotaje o dantildeo
bull Artiacuteculo 9 Acceso indebido o sabotaje a sistemas protegidos
bull Artiacuteculo 10 Posesioacuten de equipos o prestacioacuten de servicios de sabotaje
bull Artiacuteculo 11 Espionaje informaacutetico
bull Artiacuteculo 12 Falsificacioacuten de documentos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 83
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Propiedad
bull Artiacuteculo 13 Hurto
bull Artiacuteculo 14 Fraude
bull Artiacuteculo 15 Obtencioacuten indebida de bienes o servicios
bull Artiacuteculo 16 Manejo fraudulento de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 17 Apropiacioacuten de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 18 Provisioacuten indebida de bienes o servicios
bull Artiacuteculo 19 Posesioacuten de equipo para falsificaciones
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 84
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Privacidad de las Personas y de las Comunicaciones
bullArtiacuteculo 20 Violacioacuten de la privacidad de la data o informacioacuten de caraacutecter personal
bullArtiacuteculo 21 Violacioacuten de la privacidad de las comunicaciones
bullArtiacuteculo 22 Revelacioacuten indebida de data o informacioacuten de caraacutecter personal
De los Delitos Contra Nintildeos Nintildeas o Adolescentes
bullArtiacuteculo 23 Difusioacuten o exhibicioacuten de material pornograacutefico
bullArtiacuteculo 24 Exhibicioacuten pornograacutefica de nintildeos o adolescentes
De los Delitos Contra el Orden Econoacutemico
bullArtiacuteculo 25 Apropiacioacuten de propiedad intelectual
bullArtiacuteculo 26 Oferta engantildeosa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 85
Plan de Contingencia Continuidad Operacional
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 86
Plan de Contingencia
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 87
ldquoConjunto de Normas y Procedimientos documentadosy comunicados que tienen por objetivo minimizar los riesgos informaacuteticos mas probablesrdquo
InvolucrabullUso de herramientas
bullCumplimiento de Tareas por
parte de personas
Plan de Contingencia
Consta de tres subplanes independientes
bull Plan de Respaldo crear y conservar en un lugar seguro copias de seguridad de la informacioacuten
bull Pla de Emergencia queacute medidas tomar cuando se estaacute materializando una amenaza o cuando acaba de producirse
bull Plan de Recuperacioacuten medidas que se aplicaran cuando se ha producido un desastre El objetivo es evaluar el impacto y regresar lo antes posible
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 88
Plan de Contingencia
En la elaboracioacuten de este plan no se puede dejar por fuera a los miembros de la organizacioacuten el cual debe estar informado y entrenado para actuar en las funciones que le hayan sido encomendadas en caso de producirse una amenaza o impacto
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 89
Continuidad Operacional
Business Continuity Planning (Plan de Continuidad de negocios)
bull Plan Baacutesico
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Coldsite)
bull Plan Intermedio
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan Alto
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan de respuesta y continuidad de negocios alternativo (sin asistencia de sistemas)
bull Stress Testing al Plan
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 90
El Stress Testing
bull Poner a prueba el planbull Revise y evalueacute
bull Respaldosbull Oportunidad integridad y funcionalidadbull Custodia y transporte
bull Cold y Hotsitebull Funcionalidad accesibilidad y compatibilidadbull Actualizacioacuten oportuna (hotsite)
bull Personalbull Roles y funcionesbull Accesibilidad (contactos y comunicaciones)
bull Simulacioacuten de cataacutestrofesbull Sin previo aviso el director encargado del BCP se presenta en el centro de computo
cronometro en mano y baja la cuchilla de electricidad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 91
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de Lehman Brothers
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el WorldTrade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehman se desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del World Trade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehman teniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 92
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de LehmanBrothers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 93
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el World Trade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehmanse desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 94
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del WorldTrade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehmanteniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 95
La Contingencia Manual la Uacuteltima Frontera
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 96
05062015 97
DATOS BAacuteSICOS
Responsable A Nivel Corporativo Responsable(s) A Nivel Regional
PROVEEDOR (ES)
Origen Responsable Insumo (s)
RESULTADOS
Normas y Procedimientos Asociados Fecha uacuteltima revisioacuten Sistemas Aplicaciones Asociadas
Proceso
CALIFICACIOacuteN DE CONTROLES DE ENTRADA
Actividad
RECOMENDACIONES
Procesamiento
Automaacutetico (A)Manual (M)
Frecuencia
Adiestramiento Proceso Sistema N y P Otros
Negocio Area Localidad
Responsable
Nombre CargoNombre Cargo
NOMBRE
ELABORADO POR
CARGO FIRMA
Calidad de Data (B) Buena (R) Regular (M) Mala Oportunidad (AT) A Tiempo (R) Retrasada Revisioacuten Aprobacioacuten (S) Si (N) NoLEYENDA
Calificacioacuten (F) Fuerte (M) Medio (B) Bajo
DescripcioacutenResponsableDescripcioacuten
Tarea
Descripcioacuten
FRECUENCIA DE LA TAREA Diaria (D) Semanal (S) Mensual (M) Trimestral (T) Anual (A) Ocasional (O)
Soportes Recepcioacuten (P) Papel (E) Electroacutenico Archivo (S) Si (N) No Soportes Enviacuteo (S) Si (N) No Backup (S) Si (N) No
Producto (s) Cliente ReceptorControl
de salida
SoportesFrecuencia
Recepcioacuten Backup
DOCUMENTOS SISTEMAS ASOCIADOS A LOS CONTROLES
CALIFICACIOacuteN DE CONTROLES (por parte del Cliente Receptor)
Revisioacuten
Aprobacioacuten
Revisioacuten
AprobacioacutenTipo de control
Procesamiento
Automaacutetico (A)Manual (M)
Control
De EntradaTipo de control
Soportes
Recepcioacuten Archivo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 98
DATOS BAacuteSICOS
TareaActividad
Proceso Responsable del Proceso
Fecha de Elaboracioacuten 2015
Accioacuten (es) Responsable (s)
OBSERVACIONES ELABORADO POR
FIRMA
NOMBRE
Plan de recuperacioacuten y Reactivacioacuten de Finanzas
Recomendaciones Acciones
La Cadena de Valor de una Organizacioacuten de Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 99
ASESORAR EN CONTROLES DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR DELEGACIONES FINANCIERAS
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
CONTROLAR SEGURIDAD SISTEMA
OPERACIONALES ADMINISTRATIVOS Y OTROS
SISTEMAS FINANCIEROS
DESARROLLAR CONTROLES
DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR Y DESARROLLAR PLAN INTEGRAL DE CONTROL ( PIC )
Asesorar en controles de procesos normas y
Procedimientos
Administrar delegaciones financieras
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
Controlar seguridad sistema
operacionales administrativos y otros
sistemas financieros
Desarrollar
controles de
procesos
normas y
procedimientos
Administrar y desarrollar plan integral de control ( PIC )
VIRUS MUTANTES
bull Son virus que mutan es decir x Debido a estas mutaciones cada generacioacuten de virus es diferente a la versioacuten anterior dificultando asiacute su deteccioacuten y eliminacioacuten
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 66
VIRUS DE BOOT
bull Se activan en el momento en el que se arranca el ordenador desde un disco infectado ya sea desde el disco duro o desde una memoria USB
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 67
VOLVER
VIRUS DE PROGRAMA
bull Comuacutenmente infectan archivos con extensiones EXE COM OVL DRV BIN DLL y SYS
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 68
VOLVER
VIRUS DE SOBREESCRITURA
bull Sobre-escriben en el interior de los archivos atacados haciendo que se pierda el contenido de los mismos
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 69
Ataques de Seguridad
bull Spyware Es un software de computadoraque al instalarse intercepta o toma controlparcial de la interaccioacuten de lacomputadora y el usuario esto sin que elmismo se de cuenta Estos programaspueden recolectar diferentes tipos deinformacioacuten de los usuarios asiacute comoinstalar software adicional sin elconsentimiento de los mismos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 70
71
Herramientas de Seguridad
bull Gusano Es un programa de computadora quepuede replicarse a si mismo utiliza la red paraenviar copias de si mismo a otros nodos y lopuede hacer sin la intervencioacuten del usuario
A diferencia de los ldquovirusrdquo los gusanos nonecesitan estar amarrados a un programa y sufuncioacuten es principalmente dantildear la red (ejdesempentildeo) mientras que los virus dantildeanarchivos en computadoras
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
72
Ataques de Seguridad
bull Caballo de Troya Es una programa que seinstala bajo la creencia de que se estainstalando alguna otra cosa Los troyanosson programas muy utilizados parainstalar programas tipo ldquobackdoorsrdquo quepermiten el acceso no autorizado a lacomputadora atacada un ejemplo deprogramas tipo backdoor son losKeyloogers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
73
Ataques de Seguridad
bull DoS Denial of service- Ataques quehacen indisponible un servicio a losusuarios
bull DDoS Son conocidos como DNSBackbone Distributed Denial ofServices ndash Ataques tienen comoblanco los servidores raiacutez DNS por lotanto afectan uno de los pilares delInternet los nombres de los dominios
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
74
Ataques de Seguridad
bull Footprinting Teacutecnica utilizada para reunir informacioacuten acerca de sistemas computacionales y las entidades a las que pertenece algunos ejemplos son
- Domain queries
- Network queries
- Organizational queries
- TCP scans
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
75
Ataques de Seguridad
bull Fingerprinting Tambieacuten es conocidocomo TCPIP stack fingerprinting y esutilizado para determinar que sistemaoperativo utiliza alguacuten blanco en la redExiste dos tipos de fingerprinting
- Pasivo- Activo
NMAP es una herramienta que utilizafingerprinting activo para mapearpuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
76
Ataques de Seguridad
bull Escaneo de puertos El escaneo depuertos se basa en el FingerprintingActivo es decir transmite y recibesentildeales como ICMP TELNET SNMPdesde un blanco determinado en lared esto con el fin de obtenerinformacioacuten de dicho blanco en estecaso informacioacuten acerca de suspuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
77
Ataques de Seguridad
bull Sniffing Para llevar a cabo el sniffing esnecesario contar con un ldquopacket snifferrdquoque puede ser software instalado en unacomputadora o un dispositivoindependiente (appliance) estedispositivo es utilizado para interceptar yregistrar traacutefico que pasa a traveacutes de unared o de un segmento de la misma(Puede ser de una red ethernet owireless)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
78
Ataques de Seguridad
bull Spoofing Los ataques tipo spoofing sonaquellos en los que una persona oprograma logra hacerse pasar por otrafalsificando informacioacuten o utilizando laingenieriacutea algunos ataques tipo spoofingson los siguientes
- Falsificacioacuten de direccioacuten de email
- Falsificacioacuten de ID de llamadas telefoacutenicas
- Falsificacioacuten de sitios de internet (phishing)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
79
Ataques de Seguridad
bull Phishing Es el uso de teacutecnicas deingenieriacutea social con la finalidad deadquirir de manera fraudulentainformacioacuten confidencial comonombres de usuarios contrasentildeasinformacioacuten de tarjetas de creacutedito
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
80
Ataques de Seguridad
bull Ingenieriacutea Social Se refiere a unacoleccioacuten de teacutecnicas utilizadas paramanipular a las personas para querealicen alguna accioacuten o divulgueninformacioacuten confidencial
Algunos ingenieros sociales notablesson
- Kevin Mitnik
- Frank Abagnale
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
Ingenieriacutea Social
Es el conjunto de meacutetodos y praacutecticas usados para obtener informacioacuten de usuarios legiacutetimos y con la informacioacuten obtenida lograr acceso a sistemas protegidos siendo esta praacutectica de uso comuacuten entre piratas informaacuteticos y delincuentes computacionales
Coacutemo me afecta Al no validar las referencias o no seguir el protocolo de seguridad adecuado para divulgar contrasentildeas o cualquier otra informacioacuten sensible podemos ser coacutemplices de un crimen Meacutexico ha acordado con organismos internacionales la homologacioacuten yo adecuacioacuten de coacutedigos penales para que estos delitos sean perseguidos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 81
Ingenieriacutea Social
Coacutemo puedo saber si estoy siendo viacutectima de un ingeniero social Muy simple cuando alguien nos pide alguacuten tipo de informacioacuten privilegiada y esta persona es insistente cuando le requerimos seguir un protocolo para validar su intencioacuten es altamente probable que estemos siendo viacutectimas de un intento de robo de informacioacuten por un ingeniero socialhacker
Coacutemo puedo evitarlo Sencillo si no confiamos en la persona que nos solicita los datos (supongamos un teacutecnico de soporte de nuestro lugar de trabajo) podemos pedirle que nos deje sus datos y comunicarnos con el 10 minutos despueacutes de validar que la peticioacuten es legiacutetima es decir soacutelo sigamos los protocolos que existen en el trabajo y crear los propios en casa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 82
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra los Sistemas que Utilizan Tecnologiacuteas de Informacioacuten
bull Artiacuteculo 6 Acceso indebido
bull Artiacuteculo 7 Sabotaje o dantildeo a sistemas
bull Artiacuteculo 8 Favorecimiento culposo del sabotaje o dantildeo
bull Artiacuteculo 9 Acceso indebido o sabotaje a sistemas protegidos
bull Artiacuteculo 10 Posesioacuten de equipos o prestacioacuten de servicios de sabotaje
bull Artiacuteculo 11 Espionaje informaacutetico
bull Artiacuteculo 12 Falsificacioacuten de documentos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 83
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Propiedad
bull Artiacuteculo 13 Hurto
bull Artiacuteculo 14 Fraude
bull Artiacuteculo 15 Obtencioacuten indebida de bienes o servicios
bull Artiacuteculo 16 Manejo fraudulento de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 17 Apropiacioacuten de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 18 Provisioacuten indebida de bienes o servicios
bull Artiacuteculo 19 Posesioacuten de equipo para falsificaciones
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 84
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Privacidad de las Personas y de las Comunicaciones
bullArtiacuteculo 20 Violacioacuten de la privacidad de la data o informacioacuten de caraacutecter personal
bullArtiacuteculo 21 Violacioacuten de la privacidad de las comunicaciones
bullArtiacuteculo 22 Revelacioacuten indebida de data o informacioacuten de caraacutecter personal
De los Delitos Contra Nintildeos Nintildeas o Adolescentes
bullArtiacuteculo 23 Difusioacuten o exhibicioacuten de material pornograacutefico
bullArtiacuteculo 24 Exhibicioacuten pornograacutefica de nintildeos o adolescentes
De los Delitos Contra el Orden Econoacutemico
bullArtiacuteculo 25 Apropiacioacuten de propiedad intelectual
bullArtiacuteculo 26 Oferta engantildeosa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 85
Plan de Contingencia Continuidad Operacional
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 86
Plan de Contingencia
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 87
ldquoConjunto de Normas y Procedimientos documentadosy comunicados que tienen por objetivo minimizar los riesgos informaacuteticos mas probablesrdquo
InvolucrabullUso de herramientas
bullCumplimiento de Tareas por
parte de personas
Plan de Contingencia
Consta de tres subplanes independientes
bull Plan de Respaldo crear y conservar en un lugar seguro copias de seguridad de la informacioacuten
bull Pla de Emergencia queacute medidas tomar cuando se estaacute materializando una amenaza o cuando acaba de producirse
bull Plan de Recuperacioacuten medidas que se aplicaran cuando se ha producido un desastre El objetivo es evaluar el impacto y regresar lo antes posible
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 88
Plan de Contingencia
En la elaboracioacuten de este plan no se puede dejar por fuera a los miembros de la organizacioacuten el cual debe estar informado y entrenado para actuar en las funciones que le hayan sido encomendadas en caso de producirse una amenaza o impacto
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 89
Continuidad Operacional
Business Continuity Planning (Plan de Continuidad de negocios)
bull Plan Baacutesico
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Coldsite)
bull Plan Intermedio
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan Alto
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan de respuesta y continuidad de negocios alternativo (sin asistencia de sistemas)
bull Stress Testing al Plan
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 90
El Stress Testing
bull Poner a prueba el planbull Revise y evalueacute
bull Respaldosbull Oportunidad integridad y funcionalidadbull Custodia y transporte
bull Cold y Hotsitebull Funcionalidad accesibilidad y compatibilidadbull Actualizacioacuten oportuna (hotsite)
bull Personalbull Roles y funcionesbull Accesibilidad (contactos y comunicaciones)
bull Simulacioacuten de cataacutestrofesbull Sin previo aviso el director encargado del BCP se presenta en el centro de computo
cronometro en mano y baja la cuchilla de electricidad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 91
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de Lehman Brothers
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el WorldTrade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehman se desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del World Trade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehman teniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 92
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de LehmanBrothers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 93
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el World Trade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehmanse desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 94
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del WorldTrade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehmanteniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 95
La Contingencia Manual la Uacuteltima Frontera
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 96
05062015 97
DATOS BAacuteSICOS
Responsable A Nivel Corporativo Responsable(s) A Nivel Regional
PROVEEDOR (ES)
Origen Responsable Insumo (s)
RESULTADOS
Normas y Procedimientos Asociados Fecha uacuteltima revisioacuten Sistemas Aplicaciones Asociadas
Proceso
CALIFICACIOacuteN DE CONTROLES DE ENTRADA
Actividad
RECOMENDACIONES
Procesamiento
Automaacutetico (A)Manual (M)
Frecuencia
Adiestramiento Proceso Sistema N y P Otros
Negocio Area Localidad
Responsable
Nombre CargoNombre Cargo
NOMBRE
ELABORADO POR
CARGO FIRMA
Calidad de Data (B) Buena (R) Regular (M) Mala Oportunidad (AT) A Tiempo (R) Retrasada Revisioacuten Aprobacioacuten (S) Si (N) NoLEYENDA
Calificacioacuten (F) Fuerte (M) Medio (B) Bajo
DescripcioacutenResponsableDescripcioacuten
Tarea
Descripcioacuten
FRECUENCIA DE LA TAREA Diaria (D) Semanal (S) Mensual (M) Trimestral (T) Anual (A) Ocasional (O)
Soportes Recepcioacuten (P) Papel (E) Electroacutenico Archivo (S) Si (N) No Soportes Enviacuteo (S) Si (N) No Backup (S) Si (N) No
Producto (s) Cliente ReceptorControl
de salida
SoportesFrecuencia
Recepcioacuten Backup
DOCUMENTOS SISTEMAS ASOCIADOS A LOS CONTROLES
CALIFICACIOacuteN DE CONTROLES (por parte del Cliente Receptor)
Revisioacuten
Aprobacioacuten
Revisioacuten
AprobacioacutenTipo de control
Procesamiento
Automaacutetico (A)Manual (M)
Control
De EntradaTipo de control
Soportes
Recepcioacuten Archivo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 98
DATOS BAacuteSICOS
TareaActividad
Proceso Responsable del Proceso
Fecha de Elaboracioacuten 2015
Accioacuten (es) Responsable (s)
OBSERVACIONES ELABORADO POR
FIRMA
NOMBRE
Plan de recuperacioacuten y Reactivacioacuten de Finanzas
Recomendaciones Acciones
La Cadena de Valor de una Organizacioacuten de Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 99
ASESORAR EN CONTROLES DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR DELEGACIONES FINANCIERAS
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
CONTROLAR SEGURIDAD SISTEMA
OPERACIONALES ADMINISTRATIVOS Y OTROS
SISTEMAS FINANCIEROS
DESARROLLAR CONTROLES
DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR Y DESARROLLAR PLAN INTEGRAL DE CONTROL ( PIC )
Asesorar en controles de procesos normas y
Procedimientos
Administrar delegaciones financieras
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
Controlar seguridad sistema
operacionales administrativos y otros
sistemas financieros
Desarrollar
controles de
procesos
normas y
procedimientos
Administrar y desarrollar plan integral de control ( PIC )
VIRUS DE BOOT
bull Se activan en el momento en el que se arranca el ordenador desde un disco infectado ya sea desde el disco duro o desde una memoria USB
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 67
VOLVER
VIRUS DE PROGRAMA
bull Comuacutenmente infectan archivos con extensiones EXE COM OVL DRV BIN DLL y SYS
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 68
VOLVER
VIRUS DE SOBREESCRITURA
bull Sobre-escriben en el interior de los archivos atacados haciendo que se pierda el contenido de los mismos
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 69
Ataques de Seguridad
bull Spyware Es un software de computadoraque al instalarse intercepta o toma controlparcial de la interaccioacuten de lacomputadora y el usuario esto sin que elmismo se de cuenta Estos programaspueden recolectar diferentes tipos deinformacioacuten de los usuarios asiacute comoinstalar software adicional sin elconsentimiento de los mismos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 70
71
Herramientas de Seguridad
bull Gusano Es un programa de computadora quepuede replicarse a si mismo utiliza la red paraenviar copias de si mismo a otros nodos y lopuede hacer sin la intervencioacuten del usuario
A diferencia de los ldquovirusrdquo los gusanos nonecesitan estar amarrados a un programa y sufuncioacuten es principalmente dantildear la red (ejdesempentildeo) mientras que los virus dantildeanarchivos en computadoras
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
72
Ataques de Seguridad
bull Caballo de Troya Es una programa que seinstala bajo la creencia de que se estainstalando alguna otra cosa Los troyanosson programas muy utilizados parainstalar programas tipo ldquobackdoorsrdquo quepermiten el acceso no autorizado a lacomputadora atacada un ejemplo deprogramas tipo backdoor son losKeyloogers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
73
Ataques de Seguridad
bull DoS Denial of service- Ataques quehacen indisponible un servicio a losusuarios
bull DDoS Son conocidos como DNSBackbone Distributed Denial ofServices ndash Ataques tienen comoblanco los servidores raiacutez DNS por lotanto afectan uno de los pilares delInternet los nombres de los dominios
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
74
Ataques de Seguridad
bull Footprinting Teacutecnica utilizada para reunir informacioacuten acerca de sistemas computacionales y las entidades a las que pertenece algunos ejemplos son
- Domain queries
- Network queries
- Organizational queries
- TCP scans
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
75
Ataques de Seguridad
bull Fingerprinting Tambieacuten es conocidocomo TCPIP stack fingerprinting y esutilizado para determinar que sistemaoperativo utiliza alguacuten blanco en la redExiste dos tipos de fingerprinting
- Pasivo- Activo
NMAP es una herramienta que utilizafingerprinting activo para mapearpuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
76
Ataques de Seguridad
bull Escaneo de puertos El escaneo depuertos se basa en el FingerprintingActivo es decir transmite y recibesentildeales como ICMP TELNET SNMPdesde un blanco determinado en lared esto con el fin de obtenerinformacioacuten de dicho blanco en estecaso informacioacuten acerca de suspuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
77
Ataques de Seguridad
bull Sniffing Para llevar a cabo el sniffing esnecesario contar con un ldquopacket snifferrdquoque puede ser software instalado en unacomputadora o un dispositivoindependiente (appliance) estedispositivo es utilizado para interceptar yregistrar traacutefico que pasa a traveacutes de unared o de un segmento de la misma(Puede ser de una red ethernet owireless)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
78
Ataques de Seguridad
bull Spoofing Los ataques tipo spoofing sonaquellos en los que una persona oprograma logra hacerse pasar por otrafalsificando informacioacuten o utilizando laingenieriacutea algunos ataques tipo spoofingson los siguientes
- Falsificacioacuten de direccioacuten de email
- Falsificacioacuten de ID de llamadas telefoacutenicas
- Falsificacioacuten de sitios de internet (phishing)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
79
Ataques de Seguridad
bull Phishing Es el uso de teacutecnicas deingenieriacutea social con la finalidad deadquirir de manera fraudulentainformacioacuten confidencial comonombres de usuarios contrasentildeasinformacioacuten de tarjetas de creacutedito
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
80
Ataques de Seguridad
bull Ingenieriacutea Social Se refiere a unacoleccioacuten de teacutecnicas utilizadas paramanipular a las personas para querealicen alguna accioacuten o divulgueninformacioacuten confidencial
Algunos ingenieros sociales notablesson
- Kevin Mitnik
- Frank Abagnale
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
Ingenieriacutea Social
Es el conjunto de meacutetodos y praacutecticas usados para obtener informacioacuten de usuarios legiacutetimos y con la informacioacuten obtenida lograr acceso a sistemas protegidos siendo esta praacutectica de uso comuacuten entre piratas informaacuteticos y delincuentes computacionales
Coacutemo me afecta Al no validar las referencias o no seguir el protocolo de seguridad adecuado para divulgar contrasentildeas o cualquier otra informacioacuten sensible podemos ser coacutemplices de un crimen Meacutexico ha acordado con organismos internacionales la homologacioacuten yo adecuacioacuten de coacutedigos penales para que estos delitos sean perseguidos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 81
Ingenieriacutea Social
Coacutemo puedo saber si estoy siendo viacutectima de un ingeniero social Muy simple cuando alguien nos pide alguacuten tipo de informacioacuten privilegiada y esta persona es insistente cuando le requerimos seguir un protocolo para validar su intencioacuten es altamente probable que estemos siendo viacutectimas de un intento de robo de informacioacuten por un ingeniero socialhacker
Coacutemo puedo evitarlo Sencillo si no confiamos en la persona que nos solicita los datos (supongamos un teacutecnico de soporte de nuestro lugar de trabajo) podemos pedirle que nos deje sus datos y comunicarnos con el 10 minutos despueacutes de validar que la peticioacuten es legiacutetima es decir soacutelo sigamos los protocolos que existen en el trabajo y crear los propios en casa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 82
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra los Sistemas que Utilizan Tecnologiacuteas de Informacioacuten
bull Artiacuteculo 6 Acceso indebido
bull Artiacuteculo 7 Sabotaje o dantildeo a sistemas
bull Artiacuteculo 8 Favorecimiento culposo del sabotaje o dantildeo
bull Artiacuteculo 9 Acceso indebido o sabotaje a sistemas protegidos
bull Artiacuteculo 10 Posesioacuten de equipos o prestacioacuten de servicios de sabotaje
bull Artiacuteculo 11 Espionaje informaacutetico
bull Artiacuteculo 12 Falsificacioacuten de documentos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 83
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Propiedad
bull Artiacuteculo 13 Hurto
bull Artiacuteculo 14 Fraude
bull Artiacuteculo 15 Obtencioacuten indebida de bienes o servicios
bull Artiacuteculo 16 Manejo fraudulento de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 17 Apropiacioacuten de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 18 Provisioacuten indebida de bienes o servicios
bull Artiacuteculo 19 Posesioacuten de equipo para falsificaciones
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 84
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Privacidad de las Personas y de las Comunicaciones
bullArtiacuteculo 20 Violacioacuten de la privacidad de la data o informacioacuten de caraacutecter personal
bullArtiacuteculo 21 Violacioacuten de la privacidad de las comunicaciones
bullArtiacuteculo 22 Revelacioacuten indebida de data o informacioacuten de caraacutecter personal
De los Delitos Contra Nintildeos Nintildeas o Adolescentes
bullArtiacuteculo 23 Difusioacuten o exhibicioacuten de material pornograacutefico
bullArtiacuteculo 24 Exhibicioacuten pornograacutefica de nintildeos o adolescentes
De los Delitos Contra el Orden Econoacutemico
bullArtiacuteculo 25 Apropiacioacuten de propiedad intelectual
bullArtiacuteculo 26 Oferta engantildeosa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 85
Plan de Contingencia Continuidad Operacional
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 86
Plan de Contingencia
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 87
ldquoConjunto de Normas y Procedimientos documentadosy comunicados que tienen por objetivo minimizar los riesgos informaacuteticos mas probablesrdquo
InvolucrabullUso de herramientas
bullCumplimiento de Tareas por
parte de personas
Plan de Contingencia
Consta de tres subplanes independientes
bull Plan de Respaldo crear y conservar en un lugar seguro copias de seguridad de la informacioacuten
bull Pla de Emergencia queacute medidas tomar cuando se estaacute materializando una amenaza o cuando acaba de producirse
bull Plan de Recuperacioacuten medidas que se aplicaran cuando se ha producido un desastre El objetivo es evaluar el impacto y regresar lo antes posible
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 88
Plan de Contingencia
En la elaboracioacuten de este plan no se puede dejar por fuera a los miembros de la organizacioacuten el cual debe estar informado y entrenado para actuar en las funciones que le hayan sido encomendadas en caso de producirse una amenaza o impacto
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 89
Continuidad Operacional
Business Continuity Planning (Plan de Continuidad de negocios)
bull Plan Baacutesico
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Coldsite)
bull Plan Intermedio
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan Alto
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan de respuesta y continuidad de negocios alternativo (sin asistencia de sistemas)
bull Stress Testing al Plan
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 90
El Stress Testing
bull Poner a prueba el planbull Revise y evalueacute
bull Respaldosbull Oportunidad integridad y funcionalidadbull Custodia y transporte
bull Cold y Hotsitebull Funcionalidad accesibilidad y compatibilidadbull Actualizacioacuten oportuna (hotsite)
bull Personalbull Roles y funcionesbull Accesibilidad (contactos y comunicaciones)
bull Simulacioacuten de cataacutestrofesbull Sin previo aviso el director encargado del BCP se presenta en el centro de computo
cronometro en mano y baja la cuchilla de electricidad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 91
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de Lehman Brothers
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el WorldTrade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehman se desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del World Trade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehman teniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 92
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de LehmanBrothers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 93
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el World Trade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehmanse desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 94
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del WorldTrade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehmanteniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 95
La Contingencia Manual la Uacuteltima Frontera
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 96
05062015 97
DATOS BAacuteSICOS
Responsable A Nivel Corporativo Responsable(s) A Nivel Regional
PROVEEDOR (ES)
Origen Responsable Insumo (s)
RESULTADOS
Normas y Procedimientos Asociados Fecha uacuteltima revisioacuten Sistemas Aplicaciones Asociadas
Proceso
CALIFICACIOacuteN DE CONTROLES DE ENTRADA
Actividad
RECOMENDACIONES
Procesamiento
Automaacutetico (A)Manual (M)
Frecuencia
Adiestramiento Proceso Sistema N y P Otros
Negocio Area Localidad
Responsable
Nombre CargoNombre Cargo
NOMBRE
ELABORADO POR
CARGO FIRMA
Calidad de Data (B) Buena (R) Regular (M) Mala Oportunidad (AT) A Tiempo (R) Retrasada Revisioacuten Aprobacioacuten (S) Si (N) NoLEYENDA
Calificacioacuten (F) Fuerte (M) Medio (B) Bajo
DescripcioacutenResponsableDescripcioacuten
Tarea
Descripcioacuten
FRECUENCIA DE LA TAREA Diaria (D) Semanal (S) Mensual (M) Trimestral (T) Anual (A) Ocasional (O)
Soportes Recepcioacuten (P) Papel (E) Electroacutenico Archivo (S) Si (N) No Soportes Enviacuteo (S) Si (N) No Backup (S) Si (N) No
Producto (s) Cliente ReceptorControl
de salida
SoportesFrecuencia
Recepcioacuten Backup
DOCUMENTOS SISTEMAS ASOCIADOS A LOS CONTROLES
CALIFICACIOacuteN DE CONTROLES (por parte del Cliente Receptor)
Revisioacuten
Aprobacioacuten
Revisioacuten
AprobacioacutenTipo de control
Procesamiento
Automaacutetico (A)Manual (M)
Control
De EntradaTipo de control
Soportes
Recepcioacuten Archivo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 98
DATOS BAacuteSICOS
TareaActividad
Proceso Responsable del Proceso
Fecha de Elaboracioacuten 2015
Accioacuten (es) Responsable (s)
OBSERVACIONES ELABORADO POR
FIRMA
NOMBRE
Plan de recuperacioacuten y Reactivacioacuten de Finanzas
Recomendaciones Acciones
La Cadena de Valor de una Organizacioacuten de Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 99
ASESORAR EN CONTROLES DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR DELEGACIONES FINANCIERAS
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
CONTROLAR SEGURIDAD SISTEMA
OPERACIONALES ADMINISTRATIVOS Y OTROS
SISTEMAS FINANCIEROS
DESARROLLAR CONTROLES
DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR Y DESARROLLAR PLAN INTEGRAL DE CONTROL ( PIC )
Asesorar en controles de procesos normas y
Procedimientos
Administrar delegaciones financieras
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
Controlar seguridad sistema
operacionales administrativos y otros
sistemas financieros
Desarrollar
controles de
procesos
normas y
procedimientos
Administrar y desarrollar plan integral de control ( PIC )
VIRUS DE PROGRAMA
bull Comuacutenmente infectan archivos con extensiones EXE COM OVL DRV BIN DLL y SYS
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 68
VOLVER
VIRUS DE SOBREESCRITURA
bull Sobre-escriben en el interior de los archivos atacados haciendo que se pierda el contenido de los mismos
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 69
Ataques de Seguridad
bull Spyware Es un software de computadoraque al instalarse intercepta o toma controlparcial de la interaccioacuten de lacomputadora y el usuario esto sin que elmismo se de cuenta Estos programaspueden recolectar diferentes tipos deinformacioacuten de los usuarios asiacute comoinstalar software adicional sin elconsentimiento de los mismos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 70
71
Herramientas de Seguridad
bull Gusano Es un programa de computadora quepuede replicarse a si mismo utiliza la red paraenviar copias de si mismo a otros nodos y lopuede hacer sin la intervencioacuten del usuario
A diferencia de los ldquovirusrdquo los gusanos nonecesitan estar amarrados a un programa y sufuncioacuten es principalmente dantildear la red (ejdesempentildeo) mientras que los virus dantildeanarchivos en computadoras
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
72
Ataques de Seguridad
bull Caballo de Troya Es una programa que seinstala bajo la creencia de que se estainstalando alguna otra cosa Los troyanosson programas muy utilizados parainstalar programas tipo ldquobackdoorsrdquo quepermiten el acceso no autorizado a lacomputadora atacada un ejemplo deprogramas tipo backdoor son losKeyloogers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
73
Ataques de Seguridad
bull DoS Denial of service- Ataques quehacen indisponible un servicio a losusuarios
bull DDoS Son conocidos como DNSBackbone Distributed Denial ofServices ndash Ataques tienen comoblanco los servidores raiacutez DNS por lotanto afectan uno de los pilares delInternet los nombres de los dominios
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
74
Ataques de Seguridad
bull Footprinting Teacutecnica utilizada para reunir informacioacuten acerca de sistemas computacionales y las entidades a las que pertenece algunos ejemplos son
- Domain queries
- Network queries
- Organizational queries
- TCP scans
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
75
Ataques de Seguridad
bull Fingerprinting Tambieacuten es conocidocomo TCPIP stack fingerprinting y esutilizado para determinar que sistemaoperativo utiliza alguacuten blanco en la redExiste dos tipos de fingerprinting
- Pasivo- Activo
NMAP es una herramienta que utilizafingerprinting activo para mapearpuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
76
Ataques de Seguridad
bull Escaneo de puertos El escaneo depuertos se basa en el FingerprintingActivo es decir transmite y recibesentildeales como ICMP TELNET SNMPdesde un blanco determinado en lared esto con el fin de obtenerinformacioacuten de dicho blanco en estecaso informacioacuten acerca de suspuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
77
Ataques de Seguridad
bull Sniffing Para llevar a cabo el sniffing esnecesario contar con un ldquopacket snifferrdquoque puede ser software instalado en unacomputadora o un dispositivoindependiente (appliance) estedispositivo es utilizado para interceptar yregistrar traacutefico que pasa a traveacutes de unared o de un segmento de la misma(Puede ser de una red ethernet owireless)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
78
Ataques de Seguridad
bull Spoofing Los ataques tipo spoofing sonaquellos en los que una persona oprograma logra hacerse pasar por otrafalsificando informacioacuten o utilizando laingenieriacutea algunos ataques tipo spoofingson los siguientes
- Falsificacioacuten de direccioacuten de email
- Falsificacioacuten de ID de llamadas telefoacutenicas
- Falsificacioacuten de sitios de internet (phishing)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
79
Ataques de Seguridad
bull Phishing Es el uso de teacutecnicas deingenieriacutea social con la finalidad deadquirir de manera fraudulentainformacioacuten confidencial comonombres de usuarios contrasentildeasinformacioacuten de tarjetas de creacutedito
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
80
Ataques de Seguridad
bull Ingenieriacutea Social Se refiere a unacoleccioacuten de teacutecnicas utilizadas paramanipular a las personas para querealicen alguna accioacuten o divulgueninformacioacuten confidencial
Algunos ingenieros sociales notablesson
- Kevin Mitnik
- Frank Abagnale
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
Ingenieriacutea Social
Es el conjunto de meacutetodos y praacutecticas usados para obtener informacioacuten de usuarios legiacutetimos y con la informacioacuten obtenida lograr acceso a sistemas protegidos siendo esta praacutectica de uso comuacuten entre piratas informaacuteticos y delincuentes computacionales
Coacutemo me afecta Al no validar las referencias o no seguir el protocolo de seguridad adecuado para divulgar contrasentildeas o cualquier otra informacioacuten sensible podemos ser coacutemplices de un crimen Meacutexico ha acordado con organismos internacionales la homologacioacuten yo adecuacioacuten de coacutedigos penales para que estos delitos sean perseguidos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 81
Ingenieriacutea Social
Coacutemo puedo saber si estoy siendo viacutectima de un ingeniero social Muy simple cuando alguien nos pide alguacuten tipo de informacioacuten privilegiada y esta persona es insistente cuando le requerimos seguir un protocolo para validar su intencioacuten es altamente probable que estemos siendo viacutectimas de un intento de robo de informacioacuten por un ingeniero socialhacker
Coacutemo puedo evitarlo Sencillo si no confiamos en la persona que nos solicita los datos (supongamos un teacutecnico de soporte de nuestro lugar de trabajo) podemos pedirle que nos deje sus datos y comunicarnos con el 10 minutos despueacutes de validar que la peticioacuten es legiacutetima es decir soacutelo sigamos los protocolos que existen en el trabajo y crear los propios en casa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 82
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra los Sistemas que Utilizan Tecnologiacuteas de Informacioacuten
bull Artiacuteculo 6 Acceso indebido
bull Artiacuteculo 7 Sabotaje o dantildeo a sistemas
bull Artiacuteculo 8 Favorecimiento culposo del sabotaje o dantildeo
bull Artiacuteculo 9 Acceso indebido o sabotaje a sistemas protegidos
bull Artiacuteculo 10 Posesioacuten de equipos o prestacioacuten de servicios de sabotaje
bull Artiacuteculo 11 Espionaje informaacutetico
bull Artiacuteculo 12 Falsificacioacuten de documentos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 83
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Propiedad
bull Artiacuteculo 13 Hurto
bull Artiacuteculo 14 Fraude
bull Artiacuteculo 15 Obtencioacuten indebida de bienes o servicios
bull Artiacuteculo 16 Manejo fraudulento de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 17 Apropiacioacuten de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 18 Provisioacuten indebida de bienes o servicios
bull Artiacuteculo 19 Posesioacuten de equipo para falsificaciones
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 84
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Privacidad de las Personas y de las Comunicaciones
bullArtiacuteculo 20 Violacioacuten de la privacidad de la data o informacioacuten de caraacutecter personal
bullArtiacuteculo 21 Violacioacuten de la privacidad de las comunicaciones
bullArtiacuteculo 22 Revelacioacuten indebida de data o informacioacuten de caraacutecter personal
De los Delitos Contra Nintildeos Nintildeas o Adolescentes
bullArtiacuteculo 23 Difusioacuten o exhibicioacuten de material pornograacutefico
bullArtiacuteculo 24 Exhibicioacuten pornograacutefica de nintildeos o adolescentes
De los Delitos Contra el Orden Econoacutemico
bullArtiacuteculo 25 Apropiacioacuten de propiedad intelectual
bullArtiacuteculo 26 Oferta engantildeosa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 85
Plan de Contingencia Continuidad Operacional
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 86
Plan de Contingencia
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 87
ldquoConjunto de Normas y Procedimientos documentadosy comunicados que tienen por objetivo minimizar los riesgos informaacuteticos mas probablesrdquo
InvolucrabullUso de herramientas
bullCumplimiento de Tareas por
parte de personas
Plan de Contingencia
Consta de tres subplanes independientes
bull Plan de Respaldo crear y conservar en un lugar seguro copias de seguridad de la informacioacuten
bull Pla de Emergencia queacute medidas tomar cuando se estaacute materializando una amenaza o cuando acaba de producirse
bull Plan de Recuperacioacuten medidas que se aplicaran cuando se ha producido un desastre El objetivo es evaluar el impacto y regresar lo antes posible
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 88
Plan de Contingencia
En la elaboracioacuten de este plan no se puede dejar por fuera a los miembros de la organizacioacuten el cual debe estar informado y entrenado para actuar en las funciones que le hayan sido encomendadas en caso de producirse una amenaza o impacto
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 89
Continuidad Operacional
Business Continuity Planning (Plan de Continuidad de negocios)
bull Plan Baacutesico
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Coldsite)
bull Plan Intermedio
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan Alto
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan de respuesta y continuidad de negocios alternativo (sin asistencia de sistemas)
bull Stress Testing al Plan
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 90
El Stress Testing
bull Poner a prueba el planbull Revise y evalueacute
bull Respaldosbull Oportunidad integridad y funcionalidadbull Custodia y transporte
bull Cold y Hotsitebull Funcionalidad accesibilidad y compatibilidadbull Actualizacioacuten oportuna (hotsite)
bull Personalbull Roles y funcionesbull Accesibilidad (contactos y comunicaciones)
bull Simulacioacuten de cataacutestrofesbull Sin previo aviso el director encargado del BCP se presenta en el centro de computo
cronometro en mano y baja la cuchilla de electricidad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 91
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de Lehman Brothers
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el WorldTrade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehman se desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del World Trade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehman teniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 92
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de LehmanBrothers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 93
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el World Trade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehmanse desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 94
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del WorldTrade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehmanteniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 95
La Contingencia Manual la Uacuteltima Frontera
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 96
05062015 97
DATOS BAacuteSICOS
Responsable A Nivel Corporativo Responsable(s) A Nivel Regional
PROVEEDOR (ES)
Origen Responsable Insumo (s)
RESULTADOS
Normas y Procedimientos Asociados Fecha uacuteltima revisioacuten Sistemas Aplicaciones Asociadas
Proceso
CALIFICACIOacuteN DE CONTROLES DE ENTRADA
Actividad
RECOMENDACIONES
Procesamiento
Automaacutetico (A)Manual (M)
Frecuencia
Adiestramiento Proceso Sistema N y P Otros
Negocio Area Localidad
Responsable
Nombre CargoNombre Cargo
NOMBRE
ELABORADO POR
CARGO FIRMA
Calidad de Data (B) Buena (R) Regular (M) Mala Oportunidad (AT) A Tiempo (R) Retrasada Revisioacuten Aprobacioacuten (S) Si (N) NoLEYENDA
Calificacioacuten (F) Fuerte (M) Medio (B) Bajo
DescripcioacutenResponsableDescripcioacuten
Tarea
Descripcioacuten
FRECUENCIA DE LA TAREA Diaria (D) Semanal (S) Mensual (M) Trimestral (T) Anual (A) Ocasional (O)
Soportes Recepcioacuten (P) Papel (E) Electroacutenico Archivo (S) Si (N) No Soportes Enviacuteo (S) Si (N) No Backup (S) Si (N) No
Producto (s) Cliente ReceptorControl
de salida
SoportesFrecuencia
Recepcioacuten Backup
DOCUMENTOS SISTEMAS ASOCIADOS A LOS CONTROLES
CALIFICACIOacuteN DE CONTROLES (por parte del Cliente Receptor)
Revisioacuten
Aprobacioacuten
Revisioacuten
AprobacioacutenTipo de control
Procesamiento
Automaacutetico (A)Manual (M)
Control
De EntradaTipo de control
Soportes
Recepcioacuten Archivo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 98
DATOS BAacuteSICOS
TareaActividad
Proceso Responsable del Proceso
Fecha de Elaboracioacuten 2015
Accioacuten (es) Responsable (s)
OBSERVACIONES ELABORADO POR
FIRMA
NOMBRE
Plan de recuperacioacuten y Reactivacioacuten de Finanzas
Recomendaciones Acciones
La Cadena de Valor de una Organizacioacuten de Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 99
ASESORAR EN CONTROLES DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR DELEGACIONES FINANCIERAS
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
CONTROLAR SEGURIDAD SISTEMA
OPERACIONALES ADMINISTRATIVOS Y OTROS
SISTEMAS FINANCIEROS
DESARROLLAR CONTROLES
DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR Y DESARROLLAR PLAN INTEGRAL DE CONTROL ( PIC )
Asesorar en controles de procesos normas y
Procedimientos
Administrar delegaciones financieras
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
Controlar seguridad sistema
operacionales administrativos y otros
sistemas financieros
Desarrollar
controles de
procesos
normas y
procedimientos
Administrar y desarrollar plan integral de control ( PIC )
VIRUS DE SOBREESCRITURA
bull Sobre-escriben en el interior de los archivos atacados haciendo que se pierda el contenido de los mismos
VOLVER
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 69
Ataques de Seguridad
bull Spyware Es un software de computadoraque al instalarse intercepta o toma controlparcial de la interaccioacuten de lacomputadora y el usuario esto sin que elmismo se de cuenta Estos programaspueden recolectar diferentes tipos deinformacioacuten de los usuarios asiacute comoinstalar software adicional sin elconsentimiento de los mismos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 70
71
Herramientas de Seguridad
bull Gusano Es un programa de computadora quepuede replicarse a si mismo utiliza la red paraenviar copias de si mismo a otros nodos y lopuede hacer sin la intervencioacuten del usuario
A diferencia de los ldquovirusrdquo los gusanos nonecesitan estar amarrados a un programa y sufuncioacuten es principalmente dantildear la red (ejdesempentildeo) mientras que los virus dantildeanarchivos en computadoras
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
72
Ataques de Seguridad
bull Caballo de Troya Es una programa que seinstala bajo la creencia de que se estainstalando alguna otra cosa Los troyanosson programas muy utilizados parainstalar programas tipo ldquobackdoorsrdquo quepermiten el acceso no autorizado a lacomputadora atacada un ejemplo deprogramas tipo backdoor son losKeyloogers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
73
Ataques de Seguridad
bull DoS Denial of service- Ataques quehacen indisponible un servicio a losusuarios
bull DDoS Son conocidos como DNSBackbone Distributed Denial ofServices ndash Ataques tienen comoblanco los servidores raiacutez DNS por lotanto afectan uno de los pilares delInternet los nombres de los dominios
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
74
Ataques de Seguridad
bull Footprinting Teacutecnica utilizada para reunir informacioacuten acerca de sistemas computacionales y las entidades a las que pertenece algunos ejemplos son
- Domain queries
- Network queries
- Organizational queries
- TCP scans
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
75
Ataques de Seguridad
bull Fingerprinting Tambieacuten es conocidocomo TCPIP stack fingerprinting y esutilizado para determinar que sistemaoperativo utiliza alguacuten blanco en la redExiste dos tipos de fingerprinting
- Pasivo- Activo
NMAP es una herramienta que utilizafingerprinting activo para mapearpuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
76
Ataques de Seguridad
bull Escaneo de puertos El escaneo depuertos se basa en el FingerprintingActivo es decir transmite y recibesentildeales como ICMP TELNET SNMPdesde un blanco determinado en lared esto con el fin de obtenerinformacioacuten de dicho blanco en estecaso informacioacuten acerca de suspuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
77
Ataques de Seguridad
bull Sniffing Para llevar a cabo el sniffing esnecesario contar con un ldquopacket snifferrdquoque puede ser software instalado en unacomputadora o un dispositivoindependiente (appliance) estedispositivo es utilizado para interceptar yregistrar traacutefico que pasa a traveacutes de unared o de un segmento de la misma(Puede ser de una red ethernet owireless)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
78
Ataques de Seguridad
bull Spoofing Los ataques tipo spoofing sonaquellos en los que una persona oprograma logra hacerse pasar por otrafalsificando informacioacuten o utilizando laingenieriacutea algunos ataques tipo spoofingson los siguientes
- Falsificacioacuten de direccioacuten de email
- Falsificacioacuten de ID de llamadas telefoacutenicas
- Falsificacioacuten de sitios de internet (phishing)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
79
Ataques de Seguridad
bull Phishing Es el uso de teacutecnicas deingenieriacutea social con la finalidad deadquirir de manera fraudulentainformacioacuten confidencial comonombres de usuarios contrasentildeasinformacioacuten de tarjetas de creacutedito
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
80
Ataques de Seguridad
bull Ingenieriacutea Social Se refiere a unacoleccioacuten de teacutecnicas utilizadas paramanipular a las personas para querealicen alguna accioacuten o divulgueninformacioacuten confidencial
Algunos ingenieros sociales notablesson
- Kevin Mitnik
- Frank Abagnale
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
Ingenieriacutea Social
Es el conjunto de meacutetodos y praacutecticas usados para obtener informacioacuten de usuarios legiacutetimos y con la informacioacuten obtenida lograr acceso a sistemas protegidos siendo esta praacutectica de uso comuacuten entre piratas informaacuteticos y delincuentes computacionales
Coacutemo me afecta Al no validar las referencias o no seguir el protocolo de seguridad adecuado para divulgar contrasentildeas o cualquier otra informacioacuten sensible podemos ser coacutemplices de un crimen Meacutexico ha acordado con organismos internacionales la homologacioacuten yo adecuacioacuten de coacutedigos penales para que estos delitos sean perseguidos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 81
Ingenieriacutea Social
Coacutemo puedo saber si estoy siendo viacutectima de un ingeniero social Muy simple cuando alguien nos pide alguacuten tipo de informacioacuten privilegiada y esta persona es insistente cuando le requerimos seguir un protocolo para validar su intencioacuten es altamente probable que estemos siendo viacutectimas de un intento de robo de informacioacuten por un ingeniero socialhacker
Coacutemo puedo evitarlo Sencillo si no confiamos en la persona que nos solicita los datos (supongamos un teacutecnico de soporte de nuestro lugar de trabajo) podemos pedirle que nos deje sus datos y comunicarnos con el 10 minutos despueacutes de validar que la peticioacuten es legiacutetima es decir soacutelo sigamos los protocolos que existen en el trabajo y crear los propios en casa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 82
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra los Sistemas que Utilizan Tecnologiacuteas de Informacioacuten
bull Artiacuteculo 6 Acceso indebido
bull Artiacuteculo 7 Sabotaje o dantildeo a sistemas
bull Artiacuteculo 8 Favorecimiento culposo del sabotaje o dantildeo
bull Artiacuteculo 9 Acceso indebido o sabotaje a sistemas protegidos
bull Artiacuteculo 10 Posesioacuten de equipos o prestacioacuten de servicios de sabotaje
bull Artiacuteculo 11 Espionaje informaacutetico
bull Artiacuteculo 12 Falsificacioacuten de documentos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 83
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Propiedad
bull Artiacuteculo 13 Hurto
bull Artiacuteculo 14 Fraude
bull Artiacuteculo 15 Obtencioacuten indebida de bienes o servicios
bull Artiacuteculo 16 Manejo fraudulento de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 17 Apropiacioacuten de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 18 Provisioacuten indebida de bienes o servicios
bull Artiacuteculo 19 Posesioacuten de equipo para falsificaciones
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 84
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Privacidad de las Personas y de las Comunicaciones
bullArtiacuteculo 20 Violacioacuten de la privacidad de la data o informacioacuten de caraacutecter personal
bullArtiacuteculo 21 Violacioacuten de la privacidad de las comunicaciones
bullArtiacuteculo 22 Revelacioacuten indebida de data o informacioacuten de caraacutecter personal
De los Delitos Contra Nintildeos Nintildeas o Adolescentes
bullArtiacuteculo 23 Difusioacuten o exhibicioacuten de material pornograacutefico
bullArtiacuteculo 24 Exhibicioacuten pornograacutefica de nintildeos o adolescentes
De los Delitos Contra el Orden Econoacutemico
bullArtiacuteculo 25 Apropiacioacuten de propiedad intelectual
bullArtiacuteculo 26 Oferta engantildeosa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 85
Plan de Contingencia Continuidad Operacional
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 86
Plan de Contingencia
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 87
ldquoConjunto de Normas y Procedimientos documentadosy comunicados que tienen por objetivo minimizar los riesgos informaacuteticos mas probablesrdquo
InvolucrabullUso de herramientas
bullCumplimiento de Tareas por
parte de personas
Plan de Contingencia
Consta de tres subplanes independientes
bull Plan de Respaldo crear y conservar en un lugar seguro copias de seguridad de la informacioacuten
bull Pla de Emergencia queacute medidas tomar cuando se estaacute materializando una amenaza o cuando acaba de producirse
bull Plan de Recuperacioacuten medidas que se aplicaran cuando se ha producido un desastre El objetivo es evaluar el impacto y regresar lo antes posible
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 88
Plan de Contingencia
En la elaboracioacuten de este plan no se puede dejar por fuera a los miembros de la organizacioacuten el cual debe estar informado y entrenado para actuar en las funciones que le hayan sido encomendadas en caso de producirse una amenaza o impacto
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 89
Continuidad Operacional
Business Continuity Planning (Plan de Continuidad de negocios)
bull Plan Baacutesico
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Coldsite)
bull Plan Intermedio
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan Alto
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan de respuesta y continuidad de negocios alternativo (sin asistencia de sistemas)
bull Stress Testing al Plan
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 90
El Stress Testing
bull Poner a prueba el planbull Revise y evalueacute
bull Respaldosbull Oportunidad integridad y funcionalidadbull Custodia y transporte
bull Cold y Hotsitebull Funcionalidad accesibilidad y compatibilidadbull Actualizacioacuten oportuna (hotsite)
bull Personalbull Roles y funcionesbull Accesibilidad (contactos y comunicaciones)
bull Simulacioacuten de cataacutestrofesbull Sin previo aviso el director encargado del BCP se presenta en el centro de computo
cronometro en mano y baja la cuchilla de electricidad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 91
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de Lehman Brothers
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el WorldTrade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehman se desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del World Trade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehman teniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 92
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de LehmanBrothers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 93
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el World Trade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehmanse desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 94
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del WorldTrade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehmanteniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 95
La Contingencia Manual la Uacuteltima Frontera
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 96
05062015 97
DATOS BAacuteSICOS
Responsable A Nivel Corporativo Responsable(s) A Nivel Regional
PROVEEDOR (ES)
Origen Responsable Insumo (s)
RESULTADOS
Normas y Procedimientos Asociados Fecha uacuteltima revisioacuten Sistemas Aplicaciones Asociadas
Proceso
CALIFICACIOacuteN DE CONTROLES DE ENTRADA
Actividad
RECOMENDACIONES
Procesamiento
Automaacutetico (A)Manual (M)
Frecuencia
Adiestramiento Proceso Sistema N y P Otros
Negocio Area Localidad
Responsable
Nombre CargoNombre Cargo
NOMBRE
ELABORADO POR
CARGO FIRMA
Calidad de Data (B) Buena (R) Regular (M) Mala Oportunidad (AT) A Tiempo (R) Retrasada Revisioacuten Aprobacioacuten (S) Si (N) NoLEYENDA
Calificacioacuten (F) Fuerte (M) Medio (B) Bajo
DescripcioacutenResponsableDescripcioacuten
Tarea
Descripcioacuten
FRECUENCIA DE LA TAREA Diaria (D) Semanal (S) Mensual (M) Trimestral (T) Anual (A) Ocasional (O)
Soportes Recepcioacuten (P) Papel (E) Electroacutenico Archivo (S) Si (N) No Soportes Enviacuteo (S) Si (N) No Backup (S) Si (N) No
Producto (s) Cliente ReceptorControl
de salida
SoportesFrecuencia
Recepcioacuten Backup
DOCUMENTOS SISTEMAS ASOCIADOS A LOS CONTROLES
CALIFICACIOacuteN DE CONTROLES (por parte del Cliente Receptor)
Revisioacuten
Aprobacioacuten
Revisioacuten
AprobacioacutenTipo de control
Procesamiento
Automaacutetico (A)Manual (M)
Control
De EntradaTipo de control
Soportes
Recepcioacuten Archivo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 98
DATOS BAacuteSICOS
TareaActividad
Proceso Responsable del Proceso
Fecha de Elaboracioacuten 2015
Accioacuten (es) Responsable (s)
OBSERVACIONES ELABORADO POR
FIRMA
NOMBRE
Plan de recuperacioacuten y Reactivacioacuten de Finanzas
Recomendaciones Acciones
La Cadena de Valor de una Organizacioacuten de Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 99
ASESORAR EN CONTROLES DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR DELEGACIONES FINANCIERAS
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
CONTROLAR SEGURIDAD SISTEMA
OPERACIONALES ADMINISTRATIVOS Y OTROS
SISTEMAS FINANCIEROS
DESARROLLAR CONTROLES
DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR Y DESARROLLAR PLAN INTEGRAL DE CONTROL ( PIC )
Asesorar en controles de procesos normas y
Procedimientos
Administrar delegaciones financieras
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
Controlar seguridad sistema
operacionales administrativos y otros
sistemas financieros
Desarrollar
controles de
procesos
normas y
procedimientos
Administrar y desarrollar plan integral de control ( PIC )
Ataques de Seguridad
bull Spyware Es un software de computadoraque al instalarse intercepta o toma controlparcial de la interaccioacuten de lacomputadora y el usuario esto sin que elmismo se de cuenta Estos programaspueden recolectar diferentes tipos deinformacioacuten de los usuarios asiacute comoinstalar software adicional sin elconsentimiento de los mismos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 70
71
Herramientas de Seguridad
bull Gusano Es un programa de computadora quepuede replicarse a si mismo utiliza la red paraenviar copias de si mismo a otros nodos y lopuede hacer sin la intervencioacuten del usuario
A diferencia de los ldquovirusrdquo los gusanos nonecesitan estar amarrados a un programa y sufuncioacuten es principalmente dantildear la red (ejdesempentildeo) mientras que los virus dantildeanarchivos en computadoras
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
72
Ataques de Seguridad
bull Caballo de Troya Es una programa que seinstala bajo la creencia de que se estainstalando alguna otra cosa Los troyanosson programas muy utilizados parainstalar programas tipo ldquobackdoorsrdquo quepermiten el acceso no autorizado a lacomputadora atacada un ejemplo deprogramas tipo backdoor son losKeyloogers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
73
Ataques de Seguridad
bull DoS Denial of service- Ataques quehacen indisponible un servicio a losusuarios
bull DDoS Son conocidos como DNSBackbone Distributed Denial ofServices ndash Ataques tienen comoblanco los servidores raiacutez DNS por lotanto afectan uno de los pilares delInternet los nombres de los dominios
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
74
Ataques de Seguridad
bull Footprinting Teacutecnica utilizada para reunir informacioacuten acerca de sistemas computacionales y las entidades a las que pertenece algunos ejemplos son
- Domain queries
- Network queries
- Organizational queries
- TCP scans
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
75
Ataques de Seguridad
bull Fingerprinting Tambieacuten es conocidocomo TCPIP stack fingerprinting y esutilizado para determinar que sistemaoperativo utiliza alguacuten blanco en la redExiste dos tipos de fingerprinting
- Pasivo- Activo
NMAP es una herramienta que utilizafingerprinting activo para mapearpuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
76
Ataques de Seguridad
bull Escaneo de puertos El escaneo depuertos se basa en el FingerprintingActivo es decir transmite y recibesentildeales como ICMP TELNET SNMPdesde un blanco determinado en lared esto con el fin de obtenerinformacioacuten de dicho blanco en estecaso informacioacuten acerca de suspuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
77
Ataques de Seguridad
bull Sniffing Para llevar a cabo el sniffing esnecesario contar con un ldquopacket snifferrdquoque puede ser software instalado en unacomputadora o un dispositivoindependiente (appliance) estedispositivo es utilizado para interceptar yregistrar traacutefico que pasa a traveacutes de unared o de un segmento de la misma(Puede ser de una red ethernet owireless)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
78
Ataques de Seguridad
bull Spoofing Los ataques tipo spoofing sonaquellos en los que una persona oprograma logra hacerse pasar por otrafalsificando informacioacuten o utilizando laingenieriacutea algunos ataques tipo spoofingson los siguientes
- Falsificacioacuten de direccioacuten de email
- Falsificacioacuten de ID de llamadas telefoacutenicas
- Falsificacioacuten de sitios de internet (phishing)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
79
Ataques de Seguridad
bull Phishing Es el uso de teacutecnicas deingenieriacutea social con la finalidad deadquirir de manera fraudulentainformacioacuten confidencial comonombres de usuarios contrasentildeasinformacioacuten de tarjetas de creacutedito
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
80
Ataques de Seguridad
bull Ingenieriacutea Social Se refiere a unacoleccioacuten de teacutecnicas utilizadas paramanipular a las personas para querealicen alguna accioacuten o divulgueninformacioacuten confidencial
Algunos ingenieros sociales notablesson
- Kevin Mitnik
- Frank Abagnale
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
Ingenieriacutea Social
Es el conjunto de meacutetodos y praacutecticas usados para obtener informacioacuten de usuarios legiacutetimos y con la informacioacuten obtenida lograr acceso a sistemas protegidos siendo esta praacutectica de uso comuacuten entre piratas informaacuteticos y delincuentes computacionales
Coacutemo me afecta Al no validar las referencias o no seguir el protocolo de seguridad adecuado para divulgar contrasentildeas o cualquier otra informacioacuten sensible podemos ser coacutemplices de un crimen Meacutexico ha acordado con organismos internacionales la homologacioacuten yo adecuacioacuten de coacutedigos penales para que estos delitos sean perseguidos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 81
Ingenieriacutea Social
Coacutemo puedo saber si estoy siendo viacutectima de un ingeniero social Muy simple cuando alguien nos pide alguacuten tipo de informacioacuten privilegiada y esta persona es insistente cuando le requerimos seguir un protocolo para validar su intencioacuten es altamente probable que estemos siendo viacutectimas de un intento de robo de informacioacuten por un ingeniero socialhacker
Coacutemo puedo evitarlo Sencillo si no confiamos en la persona que nos solicita los datos (supongamos un teacutecnico de soporte de nuestro lugar de trabajo) podemos pedirle que nos deje sus datos y comunicarnos con el 10 minutos despueacutes de validar que la peticioacuten es legiacutetima es decir soacutelo sigamos los protocolos que existen en el trabajo y crear los propios en casa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 82
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra los Sistemas que Utilizan Tecnologiacuteas de Informacioacuten
bull Artiacuteculo 6 Acceso indebido
bull Artiacuteculo 7 Sabotaje o dantildeo a sistemas
bull Artiacuteculo 8 Favorecimiento culposo del sabotaje o dantildeo
bull Artiacuteculo 9 Acceso indebido o sabotaje a sistemas protegidos
bull Artiacuteculo 10 Posesioacuten de equipos o prestacioacuten de servicios de sabotaje
bull Artiacuteculo 11 Espionaje informaacutetico
bull Artiacuteculo 12 Falsificacioacuten de documentos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 83
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Propiedad
bull Artiacuteculo 13 Hurto
bull Artiacuteculo 14 Fraude
bull Artiacuteculo 15 Obtencioacuten indebida de bienes o servicios
bull Artiacuteculo 16 Manejo fraudulento de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 17 Apropiacioacuten de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 18 Provisioacuten indebida de bienes o servicios
bull Artiacuteculo 19 Posesioacuten de equipo para falsificaciones
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 84
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Privacidad de las Personas y de las Comunicaciones
bullArtiacuteculo 20 Violacioacuten de la privacidad de la data o informacioacuten de caraacutecter personal
bullArtiacuteculo 21 Violacioacuten de la privacidad de las comunicaciones
bullArtiacuteculo 22 Revelacioacuten indebida de data o informacioacuten de caraacutecter personal
De los Delitos Contra Nintildeos Nintildeas o Adolescentes
bullArtiacuteculo 23 Difusioacuten o exhibicioacuten de material pornograacutefico
bullArtiacuteculo 24 Exhibicioacuten pornograacutefica de nintildeos o adolescentes
De los Delitos Contra el Orden Econoacutemico
bullArtiacuteculo 25 Apropiacioacuten de propiedad intelectual
bullArtiacuteculo 26 Oferta engantildeosa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 85
Plan de Contingencia Continuidad Operacional
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 86
Plan de Contingencia
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 87
ldquoConjunto de Normas y Procedimientos documentadosy comunicados que tienen por objetivo minimizar los riesgos informaacuteticos mas probablesrdquo
InvolucrabullUso de herramientas
bullCumplimiento de Tareas por
parte de personas
Plan de Contingencia
Consta de tres subplanes independientes
bull Plan de Respaldo crear y conservar en un lugar seguro copias de seguridad de la informacioacuten
bull Pla de Emergencia queacute medidas tomar cuando se estaacute materializando una amenaza o cuando acaba de producirse
bull Plan de Recuperacioacuten medidas que se aplicaran cuando se ha producido un desastre El objetivo es evaluar el impacto y regresar lo antes posible
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 88
Plan de Contingencia
En la elaboracioacuten de este plan no se puede dejar por fuera a los miembros de la organizacioacuten el cual debe estar informado y entrenado para actuar en las funciones que le hayan sido encomendadas en caso de producirse una amenaza o impacto
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 89
Continuidad Operacional
Business Continuity Planning (Plan de Continuidad de negocios)
bull Plan Baacutesico
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Coldsite)
bull Plan Intermedio
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan Alto
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan de respuesta y continuidad de negocios alternativo (sin asistencia de sistemas)
bull Stress Testing al Plan
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 90
El Stress Testing
bull Poner a prueba el planbull Revise y evalueacute
bull Respaldosbull Oportunidad integridad y funcionalidadbull Custodia y transporte
bull Cold y Hotsitebull Funcionalidad accesibilidad y compatibilidadbull Actualizacioacuten oportuna (hotsite)
bull Personalbull Roles y funcionesbull Accesibilidad (contactos y comunicaciones)
bull Simulacioacuten de cataacutestrofesbull Sin previo aviso el director encargado del BCP se presenta en el centro de computo
cronometro en mano y baja la cuchilla de electricidad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 91
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de Lehman Brothers
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el WorldTrade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehman se desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del World Trade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehman teniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 92
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de LehmanBrothers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 93
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el World Trade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehmanse desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 94
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del WorldTrade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehmanteniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 95
La Contingencia Manual la Uacuteltima Frontera
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 96
05062015 97
DATOS BAacuteSICOS
Responsable A Nivel Corporativo Responsable(s) A Nivel Regional
PROVEEDOR (ES)
Origen Responsable Insumo (s)
RESULTADOS
Normas y Procedimientos Asociados Fecha uacuteltima revisioacuten Sistemas Aplicaciones Asociadas
Proceso
CALIFICACIOacuteN DE CONTROLES DE ENTRADA
Actividad
RECOMENDACIONES
Procesamiento
Automaacutetico (A)Manual (M)
Frecuencia
Adiestramiento Proceso Sistema N y P Otros
Negocio Area Localidad
Responsable
Nombre CargoNombre Cargo
NOMBRE
ELABORADO POR
CARGO FIRMA
Calidad de Data (B) Buena (R) Regular (M) Mala Oportunidad (AT) A Tiempo (R) Retrasada Revisioacuten Aprobacioacuten (S) Si (N) NoLEYENDA
Calificacioacuten (F) Fuerte (M) Medio (B) Bajo
DescripcioacutenResponsableDescripcioacuten
Tarea
Descripcioacuten
FRECUENCIA DE LA TAREA Diaria (D) Semanal (S) Mensual (M) Trimestral (T) Anual (A) Ocasional (O)
Soportes Recepcioacuten (P) Papel (E) Electroacutenico Archivo (S) Si (N) No Soportes Enviacuteo (S) Si (N) No Backup (S) Si (N) No
Producto (s) Cliente ReceptorControl
de salida
SoportesFrecuencia
Recepcioacuten Backup
DOCUMENTOS SISTEMAS ASOCIADOS A LOS CONTROLES
CALIFICACIOacuteN DE CONTROLES (por parte del Cliente Receptor)
Revisioacuten
Aprobacioacuten
Revisioacuten
AprobacioacutenTipo de control
Procesamiento
Automaacutetico (A)Manual (M)
Control
De EntradaTipo de control
Soportes
Recepcioacuten Archivo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 98
DATOS BAacuteSICOS
TareaActividad
Proceso Responsable del Proceso
Fecha de Elaboracioacuten 2015
Accioacuten (es) Responsable (s)
OBSERVACIONES ELABORADO POR
FIRMA
NOMBRE
Plan de recuperacioacuten y Reactivacioacuten de Finanzas
Recomendaciones Acciones
La Cadena de Valor de una Organizacioacuten de Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 99
ASESORAR EN CONTROLES DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR DELEGACIONES FINANCIERAS
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
CONTROLAR SEGURIDAD SISTEMA
OPERACIONALES ADMINISTRATIVOS Y OTROS
SISTEMAS FINANCIEROS
DESARROLLAR CONTROLES
DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR Y DESARROLLAR PLAN INTEGRAL DE CONTROL ( PIC )
Asesorar en controles de procesos normas y
Procedimientos
Administrar delegaciones financieras
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
Controlar seguridad sistema
operacionales administrativos y otros
sistemas financieros
Desarrollar
controles de
procesos
normas y
procedimientos
Administrar y desarrollar plan integral de control ( PIC )
71
Herramientas de Seguridad
bull Gusano Es un programa de computadora quepuede replicarse a si mismo utiliza la red paraenviar copias de si mismo a otros nodos y lopuede hacer sin la intervencioacuten del usuario
A diferencia de los ldquovirusrdquo los gusanos nonecesitan estar amarrados a un programa y sufuncioacuten es principalmente dantildear la red (ejdesempentildeo) mientras que los virus dantildeanarchivos en computadoras
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
72
Ataques de Seguridad
bull Caballo de Troya Es una programa que seinstala bajo la creencia de que se estainstalando alguna otra cosa Los troyanosson programas muy utilizados parainstalar programas tipo ldquobackdoorsrdquo quepermiten el acceso no autorizado a lacomputadora atacada un ejemplo deprogramas tipo backdoor son losKeyloogers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
73
Ataques de Seguridad
bull DoS Denial of service- Ataques quehacen indisponible un servicio a losusuarios
bull DDoS Son conocidos como DNSBackbone Distributed Denial ofServices ndash Ataques tienen comoblanco los servidores raiacutez DNS por lotanto afectan uno de los pilares delInternet los nombres de los dominios
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
74
Ataques de Seguridad
bull Footprinting Teacutecnica utilizada para reunir informacioacuten acerca de sistemas computacionales y las entidades a las que pertenece algunos ejemplos son
- Domain queries
- Network queries
- Organizational queries
- TCP scans
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
75
Ataques de Seguridad
bull Fingerprinting Tambieacuten es conocidocomo TCPIP stack fingerprinting y esutilizado para determinar que sistemaoperativo utiliza alguacuten blanco en la redExiste dos tipos de fingerprinting
- Pasivo- Activo
NMAP es una herramienta que utilizafingerprinting activo para mapearpuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
76
Ataques de Seguridad
bull Escaneo de puertos El escaneo depuertos se basa en el FingerprintingActivo es decir transmite y recibesentildeales como ICMP TELNET SNMPdesde un blanco determinado en lared esto con el fin de obtenerinformacioacuten de dicho blanco en estecaso informacioacuten acerca de suspuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
77
Ataques de Seguridad
bull Sniffing Para llevar a cabo el sniffing esnecesario contar con un ldquopacket snifferrdquoque puede ser software instalado en unacomputadora o un dispositivoindependiente (appliance) estedispositivo es utilizado para interceptar yregistrar traacutefico que pasa a traveacutes de unared o de un segmento de la misma(Puede ser de una red ethernet owireless)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
78
Ataques de Seguridad
bull Spoofing Los ataques tipo spoofing sonaquellos en los que una persona oprograma logra hacerse pasar por otrafalsificando informacioacuten o utilizando laingenieriacutea algunos ataques tipo spoofingson los siguientes
- Falsificacioacuten de direccioacuten de email
- Falsificacioacuten de ID de llamadas telefoacutenicas
- Falsificacioacuten de sitios de internet (phishing)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
79
Ataques de Seguridad
bull Phishing Es el uso de teacutecnicas deingenieriacutea social con la finalidad deadquirir de manera fraudulentainformacioacuten confidencial comonombres de usuarios contrasentildeasinformacioacuten de tarjetas de creacutedito
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
80
Ataques de Seguridad
bull Ingenieriacutea Social Se refiere a unacoleccioacuten de teacutecnicas utilizadas paramanipular a las personas para querealicen alguna accioacuten o divulgueninformacioacuten confidencial
Algunos ingenieros sociales notablesson
- Kevin Mitnik
- Frank Abagnale
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
Ingenieriacutea Social
Es el conjunto de meacutetodos y praacutecticas usados para obtener informacioacuten de usuarios legiacutetimos y con la informacioacuten obtenida lograr acceso a sistemas protegidos siendo esta praacutectica de uso comuacuten entre piratas informaacuteticos y delincuentes computacionales
Coacutemo me afecta Al no validar las referencias o no seguir el protocolo de seguridad adecuado para divulgar contrasentildeas o cualquier otra informacioacuten sensible podemos ser coacutemplices de un crimen Meacutexico ha acordado con organismos internacionales la homologacioacuten yo adecuacioacuten de coacutedigos penales para que estos delitos sean perseguidos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 81
Ingenieriacutea Social
Coacutemo puedo saber si estoy siendo viacutectima de un ingeniero social Muy simple cuando alguien nos pide alguacuten tipo de informacioacuten privilegiada y esta persona es insistente cuando le requerimos seguir un protocolo para validar su intencioacuten es altamente probable que estemos siendo viacutectimas de un intento de robo de informacioacuten por un ingeniero socialhacker
Coacutemo puedo evitarlo Sencillo si no confiamos en la persona que nos solicita los datos (supongamos un teacutecnico de soporte de nuestro lugar de trabajo) podemos pedirle que nos deje sus datos y comunicarnos con el 10 minutos despueacutes de validar que la peticioacuten es legiacutetima es decir soacutelo sigamos los protocolos que existen en el trabajo y crear los propios en casa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 82
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra los Sistemas que Utilizan Tecnologiacuteas de Informacioacuten
bull Artiacuteculo 6 Acceso indebido
bull Artiacuteculo 7 Sabotaje o dantildeo a sistemas
bull Artiacuteculo 8 Favorecimiento culposo del sabotaje o dantildeo
bull Artiacuteculo 9 Acceso indebido o sabotaje a sistemas protegidos
bull Artiacuteculo 10 Posesioacuten de equipos o prestacioacuten de servicios de sabotaje
bull Artiacuteculo 11 Espionaje informaacutetico
bull Artiacuteculo 12 Falsificacioacuten de documentos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 83
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Propiedad
bull Artiacuteculo 13 Hurto
bull Artiacuteculo 14 Fraude
bull Artiacuteculo 15 Obtencioacuten indebida de bienes o servicios
bull Artiacuteculo 16 Manejo fraudulento de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 17 Apropiacioacuten de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 18 Provisioacuten indebida de bienes o servicios
bull Artiacuteculo 19 Posesioacuten de equipo para falsificaciones
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 84
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Privacidad de las Personas y de las Comunicaciones
bullArtiacuteculo 20 Violacioacuten de la privacidad de la data o informacioacuten de caraacutecter personal
bullArtiacuteculo 21 Violacioacuten de la privacidad de las comunicaciones
bullArtiacuteculo 22 Revelacioacuten indebida de data o informacioacuten de caraacutecter personal
De los Delitos Contra Nintildeos Nintildeas o Adolescentes
bullArtiacuteculo 23 Difusioacuten o exhibicioacuten de material pornograacutefico
bullArtiacuteculo 24 Exhibicioacuten pornograacutefica de nintildeos o adolescentes
De los Delitos Contra el Orden Econoacutemico
bullArtiacuteculo 25 Apropiacioacuten de propiedad intelectual
bullArtiacuteculo 26 Oferta engantildeosa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 85
Plan de Contingencia Continuidad Operacional
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 86
Plan de Contingencia
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 87
ldquoConjunto de Normas y Procedimientos documentadosy comunicados que tienen por objetivo minimizar los riesgos informaacuteticos mas probablesrdquo
InvolucrabullUso de herramientas
bullCumplimiento de Tareas por
parte de personas
Plan de Contingencia
Consta de tres subplanes independientes
bull Plan de Respaldo crear y conservar en un lugar seguro copias de seguridad de la informacioacuten
bull Pla de Emergencia queacute medidas tomar cuando se estaacute materializando una amenaza o cuando acaba de producirse
bull Plan de Recuperacioacuten medidas que se aplicaran cuando se ha producido un desastre El objetivo es evaluar el impacto y regresar lo antes posible
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 88
Plan de Contingencia
En la elaboracioacuten de este plan no se puede dejar por fuera a los miembros de la organizacioacuten el cual debe estar informado y entrenado para actuar en las funciones que le hayan sido encomendadas en caso de producirse una amenaza o impacto
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 89
Continuidad Operacional
Business Continuity Planning (Plan de Continuidad de negocios)
bull Plan Baacutesico
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Coldsite)
bull Plan Intermedio
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan Alto
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan de respuesta y continuidad de negocios alternativo (sin asistencia de sistemas)
bull Stress Testing al Plan
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 90
El Stress Testing
bull Poner a prueba el planbull Revise y evalueacute
bull Respaldosbull Oportunidad integridad y funcionalidadbull Custodia y transporte
bull Cold y Hotsitebull Funcionalidad accesibilidad y compatibilidadbull Actualizacioacuten oportuna (hotsite)
bull Personalbull Roles y funcionesbull Accesibilidad (contactos y comunicaciones)
bull Simulacioacuten de cataacutestrofesbull Sin previo aviso el director encargado del BCP se presenta en el centro de computo
cronometro en mano y baja la cuchilla de electricidad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 91
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de Lehman Brothers
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el WorldTrade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehman se desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del World Trade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehman teniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 92
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de LehmanBrothers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 93
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el World Trade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehmanse desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 94
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del WorldTrade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehmanteniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 95
La Contingencia Manual la Uacuteltima Frontera
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 96
05062015 97
DATOS BAacuteSICOS
Responsable A Nivel Corporativo Responsable(s) A Nivel Regional
PROVEEDOR (ES)
Origen Responsable Insumo (s)
RESULTADOS
Normas y Procedimientos Asociados Fecha uacuteltima revisioacuten Sistemas Aplicaciones Asociadas
Proceso
CALIFICACIOacuteN DE CONTROLES DE ENTRADA
Actividad
RECOMENDACIONES
Procesamiento
Automaacutetico (A)Manual (M)
Frecuencia
Adiestramiento Proceso Sistema N y P Otros
Negocio Area Localidad
Responsable
Nombre CargoNombre Cargo
NOMBRE
ELABORADO POR
CARGO FIRMA
Calidad de Data (B) Buena (R) Regular (M) Mala Oportunidad (AT) A Tiempo (R) Retrasada Revisioacuten Aprobacioacuten (S) Si (N) NoLEYENDA
Calificacioacuten (F) Fuerte (M) Medio (B) Bajo
DescripcioacutenResponsableDescripcioacuten
Tarea
Descripcioacuten
FRECUENCIA DE LA TAREA Diaria (D) Semanal (S) Mensual (M) Trimestral (T) Anual (A) Ocasional (O)
Soportes Recepcioacuten (P) Papel (E) Electroacutenico Archivo (S) Si (N) No Soportes Enviacuteo (S) Si (N) No Backup (S) Si (N) No
Producto (s) Cliente ReceptorControl
de salida
SoportesFrecuencia
Recepcioacuten Backup
DOCUMENTOS SISTEMAS ASOCIADOS A LOS CONTROLES
CALIFICACIOacuteN DE CONTROLES (por parte del Cliente Receptor)
Revisioacuten
Aprobacioacuten
Revisioacuten
AprobacioacutenTipo de control
Procesamiento
Automaacutetico (A)Manual (M)
Control
De EntradaTipo de control
Soportes
Recepcioacuten Archivo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 98
DATOS BAacuteSICOS
TareaActividad
Proceso Responsable del Proceso
Fecha de Elaboracioacuten 2015
Accioacuten (es) Responsable (s)
OBSERVACIONES ELABORADO POR
FIRMA
NOMBRE
Plan de recuperacioacuten y Reactivacioacuten de Finanzas
Recomendaciones Acciones
La Cadena de Valor de una Organizacioacuten de Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 99
ASESORAR EN CONTROLES DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR DELEGACIONES FINANCIERAS
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
CONTROLAR SEGURIDAD SISTEMA
OPERACIONALES ADMINISTRATIVOS Y OTROS
SISTEMAS FINANCIEROS
DESARROLLAR CONTROLES
DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR Y DESARROLLAR PLAN INTEGRAL DE CONTROL ( PIC )
Asesorar en controles de procesos normas y
Procedimientos
Administrar delegaciones financieras
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
Controlar seguridad sistema
operacionales administrativos y otros
sistemas financieros
Desarrollar
controles de
procesos
normas y
procedimientos
Administrar y desarrollar plan integral de control ( PIC )
72
Ataques de Seguridad
bull Caballo de Troya Es una programa que seinstala bajo la creencia de que se estainstalando alguna otra cosa Los troyanosson programas muy utilizados parainstalar programas tipo ldquobackdoorsrdquo quepermiten el acceso no autorizado a lacomputadora atacada un ejemplo deprogramas tipo backdoor son losKeyloogers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
73
Ataques de Seguridad
bull DoS Denial of service- Ataques quehacen indisponible un servicio a losusuarios
bull DDoS Son conocidos como DNSBackbone Distributed Denial ofServices ndash Ataques tienen comoblanco los servidores raiacutez DNS por lotanto afectan uno de los pilares delInternet los nombres de los dominios
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
74
Ataques de Seguridad
bull Footprinting Teacutecnica utilizada para reunir informacioacuten acerca de sistemas computacionales y las entidades a las que pertenece algunos ejemplos son
- Domain queries
- Network queries
- Organizational queries
- TCP scans
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
75
Ataques de Seguridad
bull Fingerprinting Tambieacuten es conocidocomo TCPIP stack fingerprinting y esutilizado para determinar que sistemaoperativo utiliza alguacuten blanco en la redExiste dos tipos de fingerprinting
- Pasivo- Activo
NMAP es una herramienta que utilizafingerprinting activo para mapearpuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
76
Ataques de Seguridad
bull Escaneo de puertos El escaneo depuertos se basa en el FingerprintingActivo es decir transmite y recibesentildeales como ICMP TELNET SNMPdesde un blanco determinado en lared esto con el fin de obtenerinformacioacuten de dicho blanco en estecaso informacioacuten acerca de suspuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
77
Ataques de Seguridad
bull Sniffing Para llevar a cabo el sniffing esnecesario contar con un ldquopacket snifferrdquoque puede ser software instalado en unacomputadora o un dispositivoindependiente (appliance) estedispositivo es utilizado para interceptar yregistrar traacutefico que pasa a traveacutes de unared o de un segmento de la misma(Puede ser de una red ethernet owireless)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
78
Ataques de Seguridad
bull Spoofing Los ataques tipo spoofing sonaquellos en los que una persona oprograma logra hacerse pasar por otrafalsificando informacioacuten o utilizando laingenieriacutea algunos ataques tipo spoofingson los siguientes
- Falsificacioacuten de direccioacuten de email
- Falsificacioacuten de ID de llamadas telefoacutenicas
- Falsificacioacuten de sitios de internet (phishing)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
79
Ataques de Seguridad
bull Phishing Es el uso de teacutecnicas deingenieriacutea social con la finalidad deadquirir de manera fraudulentainformacioacuten confidencial comonombres de usuarios contrasentildeasinformacioacuten de tarjetas de creacutedito
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
80
Ataques de Seguridad
bull Ingenieriacutea Social Se refiere a unacoleccioacuten de teacutecnicas utilizadas paramanipular a las personas para querealicen alguna accioacuten o divulgueninformacioacuten confidencial
Algunos ingenieros sociales notablesson
- Kevin Mitnik
- Frank Abagnale
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
Ingenieriacutea Social
Es el conjunto de meacutetodos y praacutecticas usados para obtener informacioacuten de usuarios legiacutetimos y con la informacioacuten obtenida lograr acceso a sistemas protegidos siendo esta praacutectica de uso comuacuten entre piratas informaacuteticos y delincuentes computacionales
Coacutemo me afecta Al no validar las referencias o no seguir el protocolo de seguridad adecuado para divulgar contrasentildeas o cualquier otra informacioacuten sensible podemos ser coacutemplices de un crimen Meacutexico ha acordado con organismos internacionales la homologacioacuten yo adecuacioacuten de coacutedigos penales para que estos delitos sean perseguidos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 81
Ingenieriacutea Social
Coacutemo puedo saber si estoy siendo viacutectima de un ingeniero social Muy simple cuando alguien nos pide alguacuten tipo de informacioacuten privilegiada y esta persona es insistente cuando le requerimos seguir un protocolo para validar su intencioacuten es altamente probable que estemos siendo viacutectimas de un intento de robo de informacioacuten por un ingeniero socialhacker
Coacutemo puedo evitarlo Sencillo si no confiamos en la persona que nos solicita los datos (supongamos un teacutecnico de soporte de nuestro lugar de trabajo) podemos pedirle que nos deje sus datos y comunicarnos con el 10 minutos despueacutes de validar que la peticioacuten es legiacutetima es decir soacutelo sigamos los protocolos que existen en el trabajo y crear los propios en casa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 82
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra los Sistemas que Utilizan Tecnologiacuteas de Informacioacuten
bull Artiacuteculo 6 Acceso indebido
bull Artiacuteculo 7 Sabotaje o dantildeo a sistemas
bull Artiacuteculo 8 Favorecimiento culposo del sabotaje o dantildeo
bull Artiacuteculo 9 Acceso indebido o sabotaje a sistemas protegidos
bull Artiacuteculo 10 Posesioacuten de equipos o prestacioacuten de servicios de sabotaje
bull Artiacuteculo 11 Espionaje informaacutetico
bull Artiacuteculo 12 Falsificacioacuten de documentos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 83
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Propiedad
bull Artiacuteculo 13 Hurto
bull Artiacuteculo 14 Fraude
bull Artiacuteculo 15 Obtencioacuten indebida de bienes o servicios
bull Artiacuteculo 16 Manejo fraudulento de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 17 Apropiacioacuten de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 18 Provisioacuten indebida de bienes o servicios
bull Artiacuteculo 19 Posesioacuten de equipo para falsificaciones
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 84
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Privacidad de las Personas y de las Comunicaciones
bullArtiacuteculo 20 Violacioacuten de la privacidad de la data o informacioacuten de caraacutecter personal
bullArtiacuteculo 21 Violacioacuten de la privacidad de las comunicaciones
bullArtiacuteculo 22 Revelacioacuten indebida de data o informacioacuten de caraacutecter personal
De los Delitos Contra Nintildeos Nintildeas o Adolescentes
bullArtiacuteculo 23 Difusioacuten o exhibicioacuten de material pornograacutefico
bullArtiacuteculo 24 Exhibicioacuten pornograacutefica de nintildeos o adolescentes
De los Delitos Contra el Orden Econoacutemico
bullArtiacuteculo 25 Apropiacioacuten de propiedad intelectual
bullArtiacuteculo 26 Oferta engantildeosa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 85
Plan de Contingencia Continuidad Operacional
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 86
Plan de Contingencia
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 87
ldquoConjunto de Normas y Procedimientos documentadosy comunicados que tienen por objetivo minimizar los riesgos informaacuteticos mas probablesrdquo
InvolucrabullUso de herramientas
bullCumplimiento de Tareas por
parte de personas
Plan de Contingencia
Consta de tres subplanes independientes
bull Plan de Respaldo crear y conservar en un lugar seguro copias de seguridad de la informacioacuten
bull Pla de Emergencia queacute medidas tomar cuando se estaacute materializando una amenaza o cuando acaba de producirse
bull Plan de Recuperacioacuten medidas que se aplicaran cuando se ha producido un desastre El objetivo es evaluar el impacto y regresar lo antes posible
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 88
Plan de Contingencia
En la elaboracioacuten de este plan no se puede dejar por fuera a los miembros de la organizacioacuten el cual debe estar informado y entrenado para actuar en las funciones que le hayan sido encomendadas en caso de producirse una amenaza o impacto
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 89
Continuidad Operacional
Business Continuity Planning (Plan de Continuidad de negocios)
bull Plan Baacutesico
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Coldsite)
bull Plan Intermedio
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan Alto
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan de respuesta y continuidad de negocios alternativo (sin asistencia de sistemas)
bull Stress Testing al Plan
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 90
El Stress Testing
bull Poner a prueba el planbull Revise y evalueacute
bull Respaldosbull Oportunidad integridad y funcionalidadbull Custodia y transporte
bull Cold y Hotsitebull Funcionalidad accesibilidad y compatibilidadbull Actualizacioacuten oportuna (hotsite)
bull Personalbull Roles y funcionesbull Accesibilidad (contactos y comunicaciones)
bull Simulacioacuten de cataacutestrofesbull Sin previo aviso el director encargado del BCP se presenta en el centro de computo
cronometro en mano y baja la cuchilla de electricidad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 91
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de Lehman Brothers
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el WorldTrade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehman se desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del World Trade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehman teniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 92
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de LehmanBrothers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 93
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el World Trade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehmanse desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 94
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del WorldTrade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehmanteniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 95
La Contingencia Manual la Uacuteltima Frontera
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 96
05062015 97
DATOS BAacuteSICOS
Responsable A Nivel Corporativo Responsable(s) A Nivel Regional
PROVEEDOR (ES)
Origen Responsable Insumo (s)
RESULTADOS
Normas y Procedimientos Asociados Fecha uacuteltima revisioacuten Sistemas Aplicaciones Asociadas
Proceso
CALIFICACIOacuteN DE CONTROLES DE ENTRADA
Actividad
RECOMENDACIONES
Procesamiento
Automaacutetico (A)Manual (M)
Frecuencia
Adiestramiento Proceso Sistema N y P Otros
Negocio Area Localidad
Responsable
Nombre CargoNombre Cargo
NOMBRE
ELABORADO POR
CARGO FIRMA
Calidad de Data (B) Buena (R) Regular (M) Mala Oportunidad (AT) A Tiempo (R) Retrasada Revisioacuten Aprobacioacuten (S) Si (N) NoLEYENDA
Calificacioacuten (F) Fuerte (M) Medio (B) Bajo
DescripcioacutenResponsableDescripcioacuten
Tarea
Descripcioacuten
FRECUENCIA DE LA TAREA Diaria (D) Semanal (S) Mensual (M) Trimestral (T) Anual (A) Ocasional (O)
Soportes Recepcioacuten (P) Papel (E) Electroacutenico Archivo (S) Si (N) No Soportes Enviacuteo (S) Si (N) No Backup (S) Si (N) No
Producto (s) Cliente ReceptorControl
de salida
SoportesFrecuencia
Recepcioacuten Backup
DOCUMENTOS SISTEMAS ASOCIADOS A LOS CONTROLES
CALIFICACIOacuteN DE CONTROLES (por parte del Cliente Receptor)
Revisioacuten
Aprobacioacuten
Revisioacuten
AprobacioacutenTipo de control
Procesamiento
Automaacutetico (A)Manual (M)
Control
De EntradaTipo de control
Soportes
Recepcioacuten Archivo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 98
DATOS BAacuteSICOS
TareaActividad
Proceso Responsable del Proceso
Fecha de Elaboracioacuten 2015
Accioacuten (es) Responsable (s)
OBSERVACIONES ELABORADO POR
FIRMA
NOMBRE
Plan de recuperacioacuten y Reactivacioacuten de Finanzas
Recomendaciones Acciones
La Cadena de Valor de una Organizacioacuten de Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 99
ASESORAR EN CONTROLES DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR DELEGACIONES FINANCIERAS
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
CONTROLAR SEGURIDAD SISTEMA
OPERACIONALES ADMINISTRATIVOS Y OTROS
SISTEMAS FINANCIEROS
DESARROLLAR CONTROLES
DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR Y DESARROLLAR PLAN INTEGRAL DE CONTROL ( PIC )
Asesorar en controles de procesos normas y
Procedimientos
Administrar delegaciones financieras
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
Controlar seguridad sistema
operacionales administrativos y otros
sistemas financieros
Desarrollar
controles de
procesos
normas y
procedimientos
Administrar y desarrollar plan integral de control ( PIC )
73
Ataques de Seguridad
bull DoS Denial of service- Ataques quehacen indisponible un servicio a losusuarios
bull DDoS Son conocidos como DNSBackbone Distributed Denial ofServices ndash Ataques tienen comoblanco los servidores raiacutez DNS por lotanto afectan uno de los pilares delInternet los nombres de los dominios
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
74
Ataques de Seguridad
bull Footprinting Teacutecnica utilizada para reunir informacioacuten acerca de sistemas computacionales y las entidades a las que pertenece algunos ejemplos son
- Domain queries
- Network queries
- Organizational queries
- TCP scans
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
75
Ataques de Seguridad
bull Fingerprinting Tambieacuten es conocidocomo TCPIP stack fingerprinting y esutilizado para determinar que sistemaoperativo utiliza alguacuten blanco en la redExiste dos tipos de fingerprinting
- Pasivo- Activo
NMAP es una herramienta que utilizafingerprinting activo para mapearpuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
76
Ataques de Seguridad
bull Escaneo de puertos El escaneo depuertos se basa en el FingerprintingActivo es decir transmite y recibesentildeales como ICMP TELNET SNMPdesde un blanco determinado en lared esto con el fin de obtenerinformacioacuten de dicho blanco en estecaso informacioacuten acerca de suspuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
77
Ataques de Seguridad
bull Sniffing Para llevar a cabo el sniffing esnecesario contar con un ldquopacket snifferrdquoque puede ser software instalado en unacomputadora o un dispositivoindependiente (appliance) estedispositivo es utilizado para interceptar yregistrar traacutefico que pasa a traveacutes de unared o de un segmento de la misma(Puede ser de una red ethernet owireless)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
78
Ataques de Seguridad
bull Spoofing Los ataques tipo spoofing sonaquellos en los que una persona oprograma logra hacerse pasar por otrafalsificando informacioacuten o utilizando laingenieriacutea algunos ataques tipo spoofingson los siguientes
- Falsificacioacuten de direccioacuten de email
- Falsificacioacuten de ID de llamadas telefoacutenicas
- Falsificacioacuten de sitios de internet (phishing)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
79
Ataques de Seguridad
bull Phishing Es el uso de teacutecnicas deingenieriacutea social con la finalidad deadquirir de manera fraudulentainformacioacuten confidencial comonombres de usuarios contrasentildeasinformacioacuten de tarjetas de creacutedito
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
80
Ataques de Seguridad
bull Ingenieriacutea Social Se refiere a unacoleccioacuten de teacutecnicas utilizadas paramanipular a las personas para querealicen alguna accioacuten o divulgueninformacioacuten confidencial
Algunos ingenieros sociales notablesson
- Kevin Mitnik
- Frank Abagnale
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
Ingenieriacutea Social
Es el conjunto de meacutetodos y praacutecticas usados para obtener informacioacuten de usuarios legiacutetimos y con la informacioacuten obtenida lograr acceso a sistemas protegidos siendo esta praacutectica de uso comuacuten entre piratas informaacuteticos y delincuentes computacionales
Coacutemo me afecta Al no validar las referencias o no seguir el protocolo de seguridad adecuado para divulgar contrasentildeas o cualquier otra informacioacuten sensible podemos ser coacutemplices de un crimen Meacutexico ha acordado con organismos internacionales la homologacioacuten yo adecuacioacuten de coacutedigos penales para que estos delitos sean perseguidos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 81
Ingenieriacutea Social
Coacutemo puedo saber si estoy siendo viacutectima de un ingeniero social Muy simple cuando alguien nos pide alguacuten tipo de informacioacuten privilegiada y esta persona es insistente cuando le requerimos seguir un protocolo para validar su intencioacuten es altamente probable que estemos siendo viacutectimas de un intento de robo de informacioacuten por un ingeniero socialhacker
Coacutemo puedo evitarlo Sencillo si no confiamos en la persona que nos solicita los datos (supongamos un teacutecnico de soporte de nuestro lugar de trabajo) podemos pedirle que nos deje sus datos y comunicarnos con el 10 minutos despueacutes de validar que la peticioacuten es legiacutetima es decir soacutelo sigamos los protocolos que existen en el trabajo y crear los propios en casa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 82
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra los Sistemas que Utilizan Tecnologiacuteas de Informacioacuten
bull Artiacuteculo 6 Acceso indebido
bull Artiacuteculo 7 Sabotaje o dantildeo a sistemas
bull Artiacuteculo 8 Favorecimiento culposo del sabotaje o dantildeo
bull Artiacuteculo 9 Acceso indebido o sabotaje a sistemas protegidos
bull Artiacuteculo 10 Posesioacuten de equipos o prestacioacuten de servicios de sabotaje
bull Artiacuteculo 11 Espionaje informaacutetico
bull Artiacuteculo 12 Falsificacioacuten de documentos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 83
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Propiedad
bull Artiacuteculo 13 Hurto
bull Artiacuteculo 14 Fraude
bull Artiacuteculo 15 Obtencioacuten indebida de bienes o servicios
bull Artiacuteculo 16 Manejo fraudulento de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 17 Apropiacioacuten de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 18 Provisioacuten indebida de bienes o servicios
bull Artiacuteculo 19 Posesioacuten de equipo para falsificaciones
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 84
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Privacidad de las Personas y de las Comunicaciones
bullArtiacuteculo 20 Violacioacuten de la privacidad de la data o informacioacuten de caraacutecter personal
bullArtiacuteculo 21 Violacioacuten de la privacidad de las comunicaciones
bullArtiacuteculo 22 Revelacioacuten indebida de data o informacioacuten de caraacutecter personal
De los Delitos Contra Nintildeos Nintildeas o Adolescentes
bullArtiacuteculo 23 Difusioacuten o exhibicioacuten de material pornograacutefico
bullArtiacuteculo 24 Exhibicioacuten pornograacutefica de nintildeos o adolescentes
De los Delitos Contra el Orden Econoacutemico
bullArtiacuteculo 25 Apropiacioacuten de propiedad intelectual
bullArtiacuteculo 26 Oferta engantildeosa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 85
Plan de Contingencia Continuidad Operacional
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 86
Plan de Contingencia
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 87
ldquoConjunto de Normas y Procedimientos documentadosy comunicados que tienen por objetivo minimizar los riesgos informaacuteticos mas probablesrdquo
InvolucrabullUso de herramientas
bullCumplimiento de Tareas por
parte de personas
Plan de Contingencia
Consta de tres subplanes independientes
bull Plan de Respaldo crear y conservar en un lugar seguro copias de seguridad de la informacioacuten
bull Pla de Emergencia queacute medidas tomar cuando se estaacute materializando una amenaza o cuando acaba de producirse
bull Plan de Recuperacioacuten medidas que se aplicaran cuando se ha producido un desastre El objetivo es evaluar el impacto y regresar lo antes posible
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 88
Plan de Contingencia
En la elaboracioacuten de este plan no se puede dejar por fuera a los miembros de la organizacioacuten el cual debe estar informado y entrenado para actuar en las funciones que le hayan sido encomendadas en caso de producirse una amenaza o impacto
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 89
Continuidad Operacional
Business Continuity Planning (Plan de Continuidad de negocios)
bull Plan Baacutesico
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Coldsite)
bull Plan Intermedio
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan Alto
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan de respuesta y continuidad de negocios alternativo (sin asistencia de sistemas)
bull Stress Testing al Plan
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 90
El Stress Testing
bull Poner a prueba el planbull Revise y evalueacute
bull Respaldosbull Oportunidad integridad y funcionalidadbull Custodia y transporte
bull Cold y Hotsitebull Funcionalidad accesibilidad y compatibilidadbull Actualizacioacuten oportuna (hotsite)
bull Personalbull Roles y funcionesbull Accesibilidad (contactos y comunicaciones)
bull Simulacioacuten de cataacutestrofesbull Sin previo aviso el director encargado del BCP se presenta en el centro de computo
cronometro en mano y baja la cuchilla de electricidad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 91
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de Lehman Brothers
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el WorldTrade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehman se desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del World Trade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehman teniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 92
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de LehmanBrothers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 93
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el World Trade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehmanse desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 94
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del WorldTrade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehmanteniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 95
La Contingencia Manual la Uacuteltima Frontera
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 96
05062015 97
DATOS BAacuteSICOS
Responsable A Nivel Corporativo Responsable(s) A Nivel Regional
PROVEEDOR (ES)
Origen Responsable Insumo (s)
RESULTADOS
Normas y Procedimientos Asociados Fecha uacuteltima revisioacuten Sistemas Aplicaciones Asociadas
Proceso
CALIFICACIOacuteN DE CONTROLES DE ENTRADA
Actividad
RECOMENDACIONES
Procesamiento
Automaacutetico (A)Manual (M)
Frecuencia
Adiestramiento Proceso Sistema N y P Otros
Negocio Area Localidad
Responsable
Nombre CargoNombre Cargo
NOMBRE
ELABORADO POR
CARGO FIRMA
Calidad de Data (B) Buena (R) Regular (M) Mala Oportunidad (AT) A Tiempo (R) Retrasada Revisioacuten Aprobacioacuten (S) Si (N) NoLEYENDA
Calificacioacuten (F) Fuerte (M) Medio (B) Bajo
DescripcioacutenResponsableDescripcioacuten
Tarea
Descripcioacuten
FRECUENCIA DE LA TAREA Diaria (D) Semanal (S) Mensual (M) Trimestral (T) Anual (A) Ocasional (O)
Soportes Recepcioacuten (P) Papel (E) Electroacutenico Archivo (S) Si (N) No Soportes Enviacuteo (S) Si (N) No Backup (S) Si (N) No
Producto (s) Cliente ReceptorControl
de salida
SoportesFrecuencia
Recepcioacuten Backup
DOCUMENTOS SISTEMAS ASOCIADOS A LOS CONTROLES
CALIFICACIOacuteN DE CONTROLES (por parte del Cliente Receptor)
Revisioacuten
Aprobacioacuten
Revisioacuten
AprobacioacutenTipo de control
Procesamiento
Automaacutetico (A)Manual (M)
Control
De EntradaTipo de control
Soportes
Recepcioacuten Archivo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 98
DATOS BAacuteSICOS
TareaActividad
Proceso Responsable del Proceso
Fecha de Elaboracioacuten 2015
Accioacuten (es) Responsable (s)
OBSERVACIONES ELABORADO POR
FIRMA
NOMBRE
Plan de recuperacioacuten y Reactivacioacuten de Finanzas
Recomendaciones Acciones
La Cadena de Valor de una Organizacioacuten de Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 99
ASESORAR EN CONTROLES DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR DELEGACIONES FINANCIERAS
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
CONTROLAR SEGURIDAD SISTEMA
OPERACIONALES ADMINISTRATIVOS Y OTROS
SISTEMAS FINANCIEROS
DESARROLLAR CONTROLES
DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR Y DESARROLLAR PLAN INTEGRAL DE CONTROL ( PIC )
Asesorar en controles de procesos normas y
Procedimientos
Administrar delegaciones financieras
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
Controlar seguridad sistema
operacionales administrativos y otros
sistemas financieros
Desarrollar
controles de
procesos
normas y
procedimientos
Administrar y desarrollar plan integral de control ( PIC )
74
Ataques de Seguridad
bull Footprinting Teacutecnica utilizada para reunir informacioacuten acerca de sistemas computacionales y las entidades a las que pertenece algunos ejemplos son
- Domain queries
- Network queries
- Organizational queries
- TCP scans
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
75
Ataques de Seguridad
bull Fingerprinting Tambieacuten es conocidocomo TCPIP stack fingerprinting y esutilizado para determinar que sistemaoperativo utiliza alguacuten blanco en la redExiste dos tipos de fingerprinting
- Pasivo- Activo
NMAP es una herramienta que utilizafingerprinting activo para mapearpuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
76
Ataques de Seguridad
bull Escaneo de puertos El escaneo depuertos se basa en el FingerprintingActivo es decir transmite y recibesentildeales como ICMP TELNET SNMPdesde un blanco determinado en lared esto con el fin de obtenerinformacioacuten de dicho blanco en estecaso informacioacuten acerca de suspuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
77
Ataques de Seguridad
bull Sniffing Para llevar a cabo el sniffing esnecesario contar con un ldquopacket snifferrdquoque puede ser software instalado en unacomputadora o un dispositivoindependiente (appliance) estedispositivo es utilizado para interceptar yregistrar traacutefico que pasa a traveacutes de unared o de un segmento de la misma(Puede ser de una red ethernet owireless)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
78
Ataques de Seguridad
bull Spoofing Los ataques tipo spoofing sonaquellos en los que una persona oprograma logra hacerse pasar por otrafalsificando informacioacuten o utilizando laingenieriacutea algunos ataques tipo spoofingson los siguientes
- Falsificacioacuten de direccioacuten de email
- Falsificacioacuten de ID de llamadas telefoacutenicas
- Falsificacioacuten de sitios de internet (phishing)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
79
Ataques de Seguridad
bull Phishing Es el uso de teacutecnicas deingenieriacutea social con la finalidad deadquirir de manera fraudulentainformacioacuten confidencial comonombres de usuarios contrasentildeasinformacioacuten de tarjetas de creacutedito
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
80
Ataques de Seguridad
bull Ingenieriacutea Social Se refiere a unacoleccioacuten de teacutecnicas utilizadas paramanipular a las personas para querealicen alguna accioacuten o divulgueninformacioacuten confidencial
Algunos ingenieros sociales notablesson
- Kevin Mitnik
- Frank Abagnale
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
Ingenieriacutea Social
Es el conjunto de meacutetodos y praacutecticas usados para obtener informacioacuten de usuarios legiacutetimos y con la informacioacuten obtenida lograr acceso a sistemas protegidos siendo esta praacutectica de uso comuacuten entre piratas informaacuteticos y delincuentes computacionales
Coacutemo me afecta Al no validar las referencias o no seguir el protocolo de seguridad adecuado para divulgar contrasentildeas o cualquier otra informacioacuten sensible podemos ser coacutemplices de un crimen Meacutexico ha acordado con organismos internacionales la homologacioacuten yo adecuacioacuten de coacutedigos penales para que estos delitos sean perseguidos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 81
Ingenieriacutea Social
Coacutemo puedo saber si estoy siendo viacutectima de un ingeniero social Muy simple cuando alguien nos pide alguacuten tipo de informacioacuten privilegiada y esta persona es insistente cuando le requerimos seguir un protocolo para validar su intencioacuten es altamente probable que estemos siendo viacutectimas de un intento de robo de informacioacuten por un ingeniero socialhacker
Coacutemo puedo evitarlo Sencillo si no confiamos en la persona que nos solicita los datos (supongamos un teacutecnico de soporte de nuestro lugar de trabajo) podemos pedirle que nos deje sus datos y comunicarnos con el 10 minutos despueacutes de validar que la peticioacuten es legiacutetima es decir soacutelo sigamos los protocolos que existen en el trabajo y crear los propios en casa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 82
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra los Sistemas que Utilizan Tecnologiacuteas de Informacioacuten
bull Artiacuteculo 6 Acceso indebido
bull Artiacuteculo 7 Sabotaje o dantildeo a sistemas
bull Artiacuteculo 8 Favorecimiento culposo del sabotaje o dantildeo
bull Artiacuteculo 9 Acceso indebido o sabotaje a sistemas protegidos
bull Artiacuteculo 10 Posesioacuten de equipos o prestacioacuten de servicios de sabotaje
bull Artiacuteculo 11 Espionaje informaacutetico
bull Artiacuteculo 12 Falsificacioacuten de documentos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 83
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Propiedad
bull Artiacuteculo 13 Hurto
bull Artiacuteculo 14 Fraude
bull Artiacuteculo 15 Obtencioacuten indebida de bienes o servicios
bull Artiacuteculo 16 Manejo fraudulento de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 17 Apropiacioacuten de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 18 Provisioacuten indebida de bienes o servicios
bull Artiacuteculo 19 Posesioacuten de equipo para falsificaciones
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 84
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Privacidad de las Personas y de las Comunicaciones
bullArtiacuteculo 20 Violacioacuten de la privacidad de la data o informacioacuten de caraacutecter personal
bullArtiacuteculo 21 Violacioacuten de la privacidad de las comunicaciones
bullArtiacuteculo 22 Revelacioacuten indebida de data o informacioacuten de caraacutecter personal
De los Delitos Contra Nintildeos Nintildeas o Adolescentes
bullArtiacuteculo 23 Difusioacuten o exhibicioacuten de material pornograacutefico
bullArtiacuteculo 24 Exhibicioacuten pornograacutefica de nintildeos o adolescentes
De los Delitos Contra el Orden Econoacutemico
bullArtiacuteculo 25 Apropiacioacuten de propiedad intelectual
bullArtiacuteculo 26 Oferta engantildeosa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 85
Plan de Contingencia Continuidad Operacional
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 86
Plan de Contingencia
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 87
ldquoConjunto de Normas y Procedimientos documentadosy comunicados que tienen por objetivo minimizar los riesgos informaacuteticos mas probablesrdquo
InvolucrabullUso de herramientas
bullCumplimiento de Tareas por
parte de personas
Plan de Contingencia
Consta de tres subplanes independientes
bull Plan de Respaldo crear y conservar en un lugar seguro copias de seguridad de la informacioacuten
bull Pla de Emergencia queacute medidas tomar cuando se estaacute materializando una amenaza o cuando acaba de producirse
bull Plan de Recuperacioacuten medidas que se aplicaran cuando se ha producido un desastre El objetivo es evaluar el impacto y regresar lo antes posible
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 88
Plan de Contingencia
En la elaboracioacuten de este plan no se puede dejar por fuera a los miembros de la organizacioacuten el cual debe estar informado y entrenado para actuar en las funciones que le hayan sido encomendadas en caso de producirse una amenaza o impacto
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 89
Continuidad Operacional
Business Continuity Planning (Plan de Continuidad de negocios)
bull Plan Baacutesico
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Coldsite)
bull Plan Intermedio
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan Alto
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan de respuesta y continuidad de negocios alternativo (sin asistencia de sistemas)
bull Stress Testing al Plan
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 90
El Stress Testing
bull Poner a prueba el planbull Revise y evalueacute
bull Respaldosbull Oportunidad integridad y funcionalidadbull Custodia y transporte
bull Cold y Hotsitebull Funcionalidad accesibilidad y compatibilidadbull Actualizacioacuten oportuna (hotsite)
bull Personalbull Roles y funcionesbull Accesibilidad (contactos y comunicaciones)
bull Simulacioacuten de cataacutestrofesbull Sin previo aviso el director encargado del BCP se presenta en el centro de computo
cronometro en mano y baja la cuchilla de electricidad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 91
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de Lehman Brothers
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el WorldTrade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehman se desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del World Trade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehman teniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 92
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de LehmanBrothers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 93
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el World Trade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehmanse desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 94
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del WorldTrade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehmanteniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 95
La Contingencia Manual la Uacuteltima Frontera
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 96
05062015 97
DATOS BAacuteSICOS
Responsable A Nivel Corporativo Responsable(s) A Nivel Regional
PROVEEDOR (ES)
Origen Responsable Insumo (s)
RESULTADOS
Normas y Procedimientos Asociados Fecha uacuteltima revisioacuten Sistemas Aplicaciones Asociadas
Proceso
CALIFICACIOacuteN DE CONTROLES DE ENTRADA
Actividad
RECOMENDACIONES
Procesamiento
Automaacutetico (A)Manual (M)
Frecuencia
Adiestramiento Proceso Sistema N y P Otros
Negocio Area Localidad
Responsable
Nombre CargoNombre Cargo
NOMBRE
ELABORADO POR
CARGO FIRMA
Calidad de Data (B) Buena (R) Regular (M) Mala Oportunidad (AT) A Tiempo (R) Retrasada Revisioacuten Aprobacioacuten (S) Si (N) NoLEYENDA
Calificacioacuten (F) Fuerte (M) Medio (B) Bajo
DescripcioacutenResponsableDescripcioacuten
Tarea
Descripcioacuten
FRECUENCIA DE LA TAREA Diaria (D) Semanal (S) Mensual (M) Trimestral (T) Anual (A) Ocasional (O)
Soportes Recepcioacuten (P) Papel (E) Electroacutenico Archivo (S) Si (N) No Soportes Enviacuteo (S) Si (N) No Backup (S) Si (N) No
Producto (s) Cliente ReceptorControl
de salida
SoportesFrecuencia
Recepcioacuten Backup
DOCUMENTOS SISTEMAS ASOCIADOS A LOS CONTROLES
CALIFICACIOacuteN DE CONTROLES (por parte del Cliente Receptor)
Revisioacuten
Aprobacioacuten
Revisioacuten
AprobacioacutenTipo de control
Procesamiento
Automaacutetico (A)Manual (M)
Control
De EntradaTipo de control
Soportes
Recepcioacuten Archivo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 98
DATOS BAacuteSICOS
TareaActividad
Proceso Responsable del Proceso
Fecha de Elaboracioacuten 2015
Accioacuten (es) Responsable (s)
OBSERVACIONES ELABORADO POR
FIRMA
NOMBRE
Plan de recuperacioacuten y Reactivacioacuten de Finanzas
Recomendaciones Acciones
La Cadena de Valor de una Organizacioacuten de Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 99
ASESORAR EN CONTROLES DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR DELEGACIONES FINANCIERAS
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
CONTROLAR SEGURIDAD SISTEMA
OPERACIONALES ADMINISTRATIVOS Y OTROS
SISTEMAS FINANCIEROS
DESARROLLAR CONTROLES
DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR Y DESARROLLAR PLAN INTEGRAL DE CONTROL ( PIC )
Asesorar en controles de procesos normas y
Procedimientos
Administrar delegaciones financieras
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
Controlar seguridad sistema
operacionales administrativos y otros
sistemas financieros
Desarrollar
controles de
procesos
normas y
procedimientos
Administrar y desarrollar plan integral de control ( PIC )
75
Ataques de Seguridad
bull Fingerprinting Tambieacuten es conocidocomo TCPIP stack fingerprinting y esutilizado para determinar que sistemaoperativo utiliza alguacuten blanco en la redExiste dos tipos de fingerprinting
- Pasivo- Activo
NMAP es una herramienta que utilizafingerprinting activo para mapearpuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
76
Ataques de Seguridad
bull Escaneo de puertos El escaneo depuertos se basa en el FingerprintingActivo es decir transmite y recibesentildeales como ICMP TELNET SNMPdesde un blanco determinado en lared esto con el fin de obtenerinformacioacuten de dicho blanco en estecaso informacioacuten acerca de suspuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
77
Ataques de Seguridad
bull Sniffing Para llevar a cabo el sniffing esnecesario contar con un ldquopacket snifferrdquoque puede ser software instalado en unacomputadora o un dispositivoindependiente (appliance) estedispositivo es utilizado para interceptar yregistrar traacutefico que pasa a traveacutes de unared o de un segmento de la misma(Puede ser de una red ethernet owireless)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
78
Ataques de Seguridad
bull Spoofing Los ataques tipo spoofing sonaquellos en los que una persona oprograma logra hacerse pasar por otrafalsificando informacioacuten o utilizando laingenieriacutea algunos ataques tipo spoofingson los siguientes
- Falsificacioacuten de direccioacuten de email
- Falsificacioacuten de ID de llamadas telefoacutenicas
- Falsificacioacuten de sitios de internet (phishing)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
79
Ataques de Seguridad
bull Phishing Es el uso de teacutecnicas deingenieriacutea social con la finalidad deadquirir de manera fraudulentainformacioacuten confidencial comonombres de usuarios contrasentildeasinformacioacuten de tarjetas de creacutedito
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
80
Ataques de Seguridad
bull Ingenieriacutea Social Se refiere a unacoleccioacuten de teacutecnicas utilizadas paramanipular a las personas para querealicen alguna accioacuten o divulgueninformacioacuten confidencial
Algunos ingenieros sociales notablesson
- Kevin Mitnik
- Frank Abagnale
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
Ingenieriacutea Social
Es el conjunto de meacutetodos y praacutecticas usados para obtener informacioacuten de usuarios legiacutetimos y con la informacioacuten obtenida lograr acceso a sistemas protegidos siendo esta praacutectica de uso comuacuten entre piratas informaacuteticos y delincuentes computacionales
Coacutemo me afecta Al no validar las referencias o no seguir el protocolo de seguridad adecuado para divulgar contrasentildeas o cualquier otra informacioacuten sensible podemos ser coacutemplices de un crimen Meacutexico ha acordado con organismos internacionales la homologacioacuten yo adecuacioacuten de coacutedigos penales para que estos delitos sean perseguidos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 81
Ingenieriacutea Social
Coacutemo puedo saber si estoy siendo viacutectima de un ingeniero social Muy simple cuando alguien nos pide alguacuten tipo de informacioacuten privilegiada y esta persona es insistente cuando le requerimos seguir un protocolo para validar su intencioacuten es altamente probable que estemos siendo viacutectimas de un intento de robo de informacioacuten por un ingeniero socialhacker
Coacutemo puedo evitarlo Sencillo si no confiamos en la persona que nos solicita los datos (supongamos un teacutecnico de soporte de nuestro lugar de trabajo) podemos pedirle que nos deje sus datos y comunicarnos con el 10 minutos despueacutes de validar que la peticioacuten es legiacutetima es decir soacutelo sigamos los protocolos que existen en el trabajo y crear los propios en casa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 82
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra los Sistemas que Utilizan Tecnologiacuteas de Informacioacuten
bull Artiacuteculo 6 Acceso indebido
bull Artiacuteculo 7 Sabotaje o dantildeo a sistemas
bull Artiacuteculo 8 Favorecimiento culposo del sabotaje o dantildeo
bull Artiacuteculo 9 Acceso indebido o sabotaje a sistemas protegidos
bull Artiacuteculo 10 Posesioacuten de equipos o prestacioacuten de servicios de sabotaje
bull Artiacuteculo 11 Espionaje informaacutetico
bull Artiacuteculo 12 Falsificacioacuten de documentos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 83
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Propiedad
bull Artiacuteculo 13 Hurto
bull Artiacuteculo 14 Fraude
bull Artiacuteculo 15 Obtencioacuten indebida de bienes o servicios
bull Artiacuteculo 16 Manejo fraudulento de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 17 Apropiacioacuten de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 18 Provisioacuten indebida de bienes o servicios
bull Artiacuteculo 19 Posesioacuten de equipo para falsificaciones
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 84
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Privacidad de las Personas y de las Comunicaciones
bullArtiacuteculo 20 Violacioacuten de la privacidad de la data o informacioacuten de caraacutecter personal
bullArtiacuteculo 21 Violacioacuten de la privacidad de las comunicaciones
bullArtiacuteculo 22 Revelacioacuten indebida de data o informacioacuten de caraacutecter personal
De los Delitos Contra Nintildeos Nintildeas o Adolescentes
bullArtiacuteculo 23 Difusioacuten o exhibicioacuten de material pornograacutefico
bullArtiacuteculo 24 Exhibicioacuten pornograacutefica de nintildeos o adolescentes
De los Delitos Contra el Orden Econoacutemico
bullArtiacuteculo 25 Apropiacioacuten de propiedad intelectual
bullArtiacuteculo 26 Oferta engantildeosa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 85
Plan de Contingencia Continuidad Operacional
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 86
Plan de Contingencia
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 87
ldquoConjunto de Normas y Procedimientos documentadosy comunicados que tienen por objetivo minimizar los riesgos informaacuteticos mas probablesrdquo
InvolucrabullUso de herramientas
bullCumplimiento de Tareas por
parte de personas
Plan de Contingencia
Consta de tres subplanes independientes
bull Plan de Respaldo crear y conservar en un lugar seguro copias de seguridad de la informacioacuten
bull Pla de Emergencia queacute medidas tomar cuando se estaacute materializando una amenaza o cuando acaba de producirse
bull Plan de Recuperacioacuten medidas que se aplicaran cuando se ha producido un desastre El objetivo es evaluar el impacto y regresar lo antes posible
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 88
Plan de Contingencia
En la elaboracioacuten de este plan no se puede dejar por fuera a los miembros de la organizacioacuten el cual debe estar informado y entrenado para actuar en las funciones que le hayan sido encomendadas en caso de producirse una amenaza o impacto
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 89
Continuidad Operacional
Business Continuity Planning (Plan de Continuidad de negocios)
bull Plan Baacutesico
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Coldsite)
bull Plan Intermedio
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan Alto
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan de respuesta y continuidad de negocios alternativo (sin asistencia de sistemas)
bull Stress Testing al Plan
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 90
El Stress Testing
bull Poner a prueba el planbull Revise y evalueacute
bull Respaldosbull Oportunidad integridad y funcionalidadbull Custodia y transporte
bull Cold y Hotsitebull Funcionalidad accesibilidad y compatibilidadbull Actualizacioacuten oportuna (hotsite)
bull Personalbull Roles y funcionesbull Accesibilidad (contactos y comunicaciones)
bull Simulacioacuten de cataacutestrofesbull Sin previo aviso el director encargado del BCP se presenta en el centro de computo
cronometro en mano y baja la cuchilla de electricidad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 91
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de Lehman Brothers
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el WorldTrade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehman se desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del World Trade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehman teniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 92
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de LehmanBrothers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 93
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el World Trade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehmanse desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 94
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del WorldTrade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehmanteniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 95
La Contingencia Manual la Uacuteltima Frontera
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 96
05062015 97
DATOS BAacuteSICOS
Responsable A Nivel Corporativo Responsable(s) A Nivel Regional
PROVEEDOR (ES)
Origen Responsable Insumo (s)
RESULTADOS
Normas y Procedimientos Asociados Fecha uacuteltima revisioacuten Sistemas Aplicaciones Asociadas
Proceso
CALIFICACIOacuteN DE CONTROLES DE ENTRADA
Actividad
RECOMENDACIONES
Procesamiento
Automaacutetico (A)Manual (M)
Frecuencia
Adiestramiento Proceso Sistema N y P Otros
Negocio Area Localidad
Responsable
Nombre CargoNombre Cargo
NOMBRE
ELABORADO POR
CARGO FIRMA
Calidad de Data (B) Buena (R) Regular (M) Mala Oportunidad (AT) A Tiempo (R) Retrasada Revisioacuten Aprobacioacuten (S) Si (N) NoLEYENDA
Calificacioacuten (F) Fuerte (M) Medio (B) Bajo
DescripcioacutenResponsableDescripcioacuten
Tarea
Descripcioacuten
FRECUENCIA DE LA TAREA Diaria (D) Semanal (S) Mensual (M) Trimestral (T) Anual (A) Ocasional (O)
Soportes Recepcioacuten (P) Papel (E) Electroacutenico Archivo (S) Si (N) No Soportes Enviacuteo (S) Si (N) No Backup (S) Si (N) No
Producto (s) Cliente ReceptorControl
de salida
SoportesFrecuencia
Recepcioacuten Backup
DOCUMENTOS SISTEMAS ASOCIADOS A LOS CONTROLES
CALIFICACIOacuteN DE CONTROLES (por parte del Cliente Receptor)
Revisioacuten
Aprobacioacuten
Revisioacuten
AprobacioacutenTipo de control
Procesamiento
Automaacutetico (A)Manual (M)
Control
De EntradaTipo de control
Soportes
Recepcioacuten Archivo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 98
DATOS BAacuteSICOS
TareaActividad
Proceso Responsable del Proceso
Fecha de Elaboracioacuten 2015
Accioacuten (es) Responsable (s)
OBSERVACIONES ELABORADO POR
FIRMA
NOMBRE
Plan de recuperacioacuten y Reactivacioacuten de Finanzas
Recomendaciones Acciones
La Cadena de Valor de una Organizacioacuten de Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 99
ASESORAR EN CONTROLES DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR DELEGACIONES FINANCIERAS
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
CONTROLAR SEGURIDAD SISTEMA
OPERACIONALES ADMINISTRATIVOS Y OTROS
SISTEMAS FINANCIEROS
DESARROLLAR CONTROLES
DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR Y DESARROLLAR PLAN INTEGRAL DE CONTROL ( PIC )
Asesorar en controles de procesos normas y
Procedimientos
Administrar delegaciones financieras
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
Controlar seguridad sistema
operacionales administrativos y otros
sistemas financieros
Desarrollar
controles de
procesos
normas y
procedimientos
Administrar y desarrollar plan integral de control ( PIC )
76
Ataques de Seguridad
bull Escaneo de puertos El escaneo depuertos se basa en el FingerprintingActivo es decir transmite y recibesentildeales como ICMP TELNET SNMPdesde un blanco determinado en lared esto con el fin de obtenerinformacioacuten de dicho blanco en estecaso informacioacuten acerca de suspuertos de red
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
77
Ataques de Seguridad
bull Sniffing Para llevar a cabo el sniffing esnecesario contar con un ldquopacket snifferrdquoque puede ser software instalado en unacomputadora o un dispositivoindependiente (appliance) estedispositivo es utilizado para interceptar yregistrar traacutefico que pasa a traveacutes de unared o de un segmento de la misma(Puede ser de una red ethernet owireless)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
78
Ataques de Seguridad
bull Spoofing Los ataques tipo spoofing sonaquellos en los que una persona oprograma logra hacerse pasar por otrafalsificando informacioacuten o utilizando laingenieriacutea algunos ataques tipo spoofingson los siguientes
- Falsificacioacuten de direccioacuten de email
- Falsificacioacuten de ID de llamadas telefoacutenicas
- Falsificacioacuten de sitios de internet (phishing)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
79
Ataques de Seguridad
bull Phishing Es el uso de teacutecnicas deingenieriacutea social con la finalidad deadquirir de manera fraudulentainformacioacuten confidencial comonombres de usuarios contrasentildeasinformacioacuten de tarjetas de creacutedito
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
80
Ataques de Seguridad
bull Ingenieriacutea Social Se refiere a unacoleccioacuten de teacutecnicas utilizadas paramanipular a las personas para querealicen alguna accioacuten o divulgueninformacioacuten confidencial
Algunos ingenieros sociales notablesson
- Kevin Mitnik
- Frank Abagnale
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
Ingenieriacutea Social
Es el conjunto de meacutetodos y praacutecticas usados para obtener informacioacuten de usuarios legiacutetimos y con la informacioacuten obtenida lograr acceso a sistemas protegidos siendo esta praacutectica de uso comuacuten entre piratas informaacuteticos y delincuentes computacionales
Coacutemo me afecta Al no validar las referencias o no seguir el protocolo de seguridad adecuado para divulgar contrasentildeas o cualquier otra informacioacuten sensible podemos ser coacutemplices de un crimen Meacutexico ha acordado con organismos internacionales la homologacioacuten yo adecuacioacuten de coacutedigos penales para que estos delitos sean perseguidos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 81
Ingenieriacutea Social
Coacutemo puedo saber si estoy siendo viacutectima de un ingeniero social Muy simple cuando alguien nos pide alguacuten tipo de informacioacuten privilegiada y esta persona es insistente cuando le requerimos seguir un protocolo para validar su intencioacuten es altamente probable que estemos siendo viacutectimas de un intento de robo de informacioacuten por un ingeniero socialhacker
Coacutemo puedo evitarlo Sencillo si no confiamos en la persona que nos solicita los datos (supongamos un teacutecnico de soporte de nuestro lugar de trabajo) podemos pedirle que nos deje sus datos y comunicarnos con el 10 minutos despueacutes de validar que la peticioacuten es legiacutetima es decir soacutelo sigamos los protocolos que existen en el trabajo y crear los propios en casa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 82
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra los Sistemas que Utilizan Tecnologiacuteas de Informacioacuten
bull Artiacuteculo 6 Acceso indebido
bull Artiacuteculo 7 Sabotaje o dantildeo a sistemas
bull Artiacuteculo 8 Favorecimiento culposo del sabotaje o dantildeo
bull Artiacuteculo 9 Acceso indebido o sabotaje a sistemas protegidos
bull Artiacuteculo 10 Posesioacuten de equipos o prestacioacuten de servicios de sabotaje
bull Artiacuteculo 11 Espionaje informaacutetico
bull Artiacuteculo 12 Falsificacioacuten de documentos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 83
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Propiedad
bull Artiacuteculo 13 Hurto
bull Artiacuteculo 14 Fraude
bull Artiacuteculo 15 Obtencioacuten indebida de bienes o servicios
bull Artiacuteculo 16 Manejo fraudulento de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 17 Apropiacioacuten de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 18 Provisioacuten indebida de bienes o servicios
bull Artiacuteculo 19 Posesioacuten de equipo para falsificaciones
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 84
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Privacidad de las Personas y de las Comunicaciones
bullArtiacuteculo 20 Violacioacuten de la privacidad de la data o informacioacuten de caraacutecter personal
bullArtiacuteculo 21 Violacioacuten de la privacidad de las comunicaciones
bullArtiacuteculo 22 Revelacioacuten indebida de data o informacioacuten de caraacutecter personal
De los Delitos Contra Nintildeos Nintildeas o Adolescentes
bullArtiacuteculo 23 Difusioacuten o exhibicioacuten de material pornograacutefico
bullArtiacuteculo 24 Exhibicioacuten pornograacutefica de nintildeos o adolescentes
De los Delitos Contra el Orden Econoacutemico
bullArtiacuteculo 25 Apropiacioacuten de propiedad intelectual
bullArtiacuteculo 26 Oferta engantildeosa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 85
Plan de Contingencia Continuidad Operacional
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 86
Plan de Contingencia
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 87
ldquoConjunto de Normas y Procedimientos documentadosy comunicados que tienen por objetivo minimizar los riesgos informaacuteticos mas probablesrdquo
InvolucrabullUso de herramientas
bullCumplimiento de Tareas por
parte de personas
Plan de Contingencia
Consta de tres subplanes independientes
bull Plan de Respaldo crear y conservar en un lugar seguro copias de seguridad de la informacioacuten
bull Pla de Emergencia queacute medidas tomar cuando se estaacute materializando una amenaza o cuando acaba de producirse
bull Plan de Recuperacioacuten medidas que se aplicaran cuando se ha producido un desastre El objetivo es evaluar el impacto y regresar lo antes posible
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 88
Plan de Contingencia
En la elaboracioacuten de este plan no se puede dejar por fuera a los miembros de la organizacioacuten el cual debe estar informado y entrenado para actuar en las funciones que le hayan sido encomendadas en caso de producirse una amenaza o impacto
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 89
Continuidad Operacional
Business Continuity Planning (Plan de Continuidad de negocios)
bull Plan Baacutesico
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Coldsite)
bull Plan Intermedio
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan Alto
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan de respuesta y continuidad de negocios alternativo (sin asistencia de sistemas)
bull Stress Testing al Plan
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 90
El Stress Testing
bull Poner a prueba el planbull Revise y evalueacute
bull Respaldosbull Oportunidad integridad y funcionalidadbull Custodia y transporte
bull Cold y Hotsitebull Funcionalidad accesibilidad y compatibilidadbull Actualizacioacuten oportuna (hotsite)
bull Personalbull Roles y funcionesbull Accesibilidad (contactos y comunicaciones)
bull Simulacioacuten de cataacutestrofesbull Sin previo aviso el director encargado del BCP se presenta en el centro de computo
cronometro en mano y baja la cuchilla de electricidad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 91
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de Lehman Brothers
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el WorldTrade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehman se desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del World Trade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehman teniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 92
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de LehmanBrothers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 93
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el World Trade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehmanse desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 94
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del WorldTrade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehmanteniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 95
La Contingencia Manual la Uacuteltima Frontera
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 96
05062015 97
DATOS BAacuteSICOS
Responsable A Nivel Corporativo Responsable(s) A Nivel Regional
PROVEEDOR (ES)
Origen Responsable Insumo (s)
RESULTADOS
Normas y Procedimientos Asociados Fecha uacuteltima revisioacuten Sistemas Aplicaciones Asociadas
Proceso
CALIFICACIOacuteN DE CONTROLES DE ENTRADA
Actividad
RECOMENDACIONES
Procesamiento
Automaacutetico (A)Manual (M)
Frecuencia
Adiestramiento Proceso Sistema N y P Otros
Negocio Area Localidad
Responsable
Nombre CargoNombre Cargo
NOMBRE
ELABORADO POR
CARGO FIRMA
Calidad de Data (B) Buena (R) Regular (M) Mala Oportunidad (AT) A Tiempo (R) Retrasada Revisioacuten Aprobacioacuten (S) Si (N) NoLEYENDA
Calificacioacuten (F) Fuerte (M) Medio (B) Bajo
DescripcioacutenResponsableDescripcioacuten
Tarea
Descripcioacuten
FRECUENCIA DE LA TAREA Diaria (D) Semanal (S) Mensual (M) Trimestral (T) Anual (A) Ocasional (O)
Soportes Recepcioacuten (P) Papel (E) Electroacutenico Archivo (S) Si (N) No Soportes Enviacuteo (S) Si (N) No Backup (S) Si (N) No
Producto (s) Cliente ReceptorControl
de salida
SoportesFrecuencia
Recepcioacuten Backup
DOCUMENTOS SISTEMAS ASOCIADOS A LOS CONTROLES
CALIFICACIOacuteN DE CONTROLES (por parte del Cliente Receptor)
Revisioacuten
Aprobacioacuten
Revisioacuten
AprobacioacutenTipo de control
Procesamiento
Automaacutetico (A)Manual (M)
Control
De EntradaTipo de control
Soportes
Recepcioacuten Archivo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 98
DATOS BAacuteSICOS
TareaActividad
Proceso Responsable del Proceso
Fecha de Elaboracioacuten 2015
Accioacuten (es) Responsable (s)
OBSERVACIONES ELABORADO POR
FIRMA
NOMBRE
Plan de recuperacioacuten y Reactivacioacuten de Finanzas
Recomendaciones Acciones
La Cadena de Valor de una Organizacioacuten de Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 99
ASESORAR EN CONTROLES DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR DELEGACIONES FINANCIERAS
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
CONTROLAR SEGURIDAD SISTEMA
OPERACIONALES ADMINISTRATIVOS Y OTROS
SISTEMAS FINANCIEROS
DESARROLLAR CONTROLES
DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR Y DESARROLLAR PLAN INTEGRAL DE CONTROL ( PIC )
Asesorar en controles de procesos normas y
Procedimientos
Administrar delegaciones financieras
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
Controlar seguridad sistema
operacionales administrativos y otros
sistemas financieros
Desarrollar
controles de
procesos
normas y
procedimientos
Administrar y desarrollar plan integral de control ( PIC )
77
Ataques de Seguridad
bull Sniffing Para llevar a cabo el sniffing esnecesario contar con un ldquopacket snifferrdquoque puede ser software instalado en unacomputadora o un dispositivoindependiente (appliance) estedispositivo es utilizado para interceptar yregistrar traacutefico que pasa a traveacutes de unared o de un segmento de la misma(Puede ser de una red ethernet owireless)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
78
Ataques de Seguridad
bull Spoofing Los ataques tipo spoofing sonaquellos en los que una persona oprograma logra hacerse pasar por otrafalsificando informacioacuten o utilizando laingenieriacutea algunos ataques tipo spoofingson los siguientes
- Falsificacioacuten de direccioacuten de email
- Falsificacioacuten de ID de llamadas telefoacutenicas
- Falsificacioacuten de sitios de internet (phishing)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
79
Ataques de Seguridad
bull Phishing Es el uso de teacutecnicas deingenieriacutea social con la finalidad deadquirir de manera fraudulentainformacioacuten confidencial comonombres de usuarios contrasentildeasinformacioacuten de tarjetas de creacutedito
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
80
Ataques de Seguridad
bull Ingenieriacutea Social Se refiere a unacoleccioacuten de teacutecnicas utilizadas paramanipular a las personas para querealicen alguna accioacuten o divulgueninformacioacuten confidencial
Algunos ingenieros sociales notablesson
- Kevin Mitnik
- Frank Abagnale
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
Ingenieriacutea Social
Es el conjunto de meacutetodos y praacutecticas usados para obtener informacioacuten de usuarios legiacutetimos y con la informacioacuten obtenida lograr acceso a sistemas protegidos siendo esta praacutectica de uso comuacuten entre piratas informaacuteticos y delincuentes computacionales
Coacutemo me afecta Al no validar las referencias o no seguir el protocolo de seguridad adecuado para divulgar contrasentildeas o cualquier otra informacioacuten sensible podemos ser coacutemplices de un crimen Meacutexico ha acordado con organismos internacionales la homologacioacuten yo adecuacioacuten de coacutedigos penales para que estos delitos sean perseguidos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 81
Ingenieriacutea Social
Coacutemo puedo saber si estoy siendo viacutectima de un ingeniero social Muy simple cuando alguien nos pide alguacuten tipo de informacioacuten privilegiada y esta persona es insistente cuando le requerimos seguir un protocolo para validar su intencioacuten es altamente probable que estemos siendo viacutectimas de un intento de robo de informacioacuten por un ingeniero socialhacker
Coacutemo puedo evitarlo Sencillo si no confiamos en la persona que nos solicita los datos (supongamos un teacutecnico de soporte de nuestro lugar de trabajo) podemos pedirle que nos deje sus datos y comunicarnos con el 10 minutos despueacutes de validar que la peticioacuten es legiacutetima es decir soacutelo sigamos los protocolos que existen en el trabajo y crear los propios en casa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 82
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra los Sistemas que Utilizan Tecnologiacuteas de Informacioacuten
bull Artiacuteculo 6 Acceso indebido
bull Artiacuteculo 7 Sabotaje o dantildeo a sistemas
bull Artiacuteculo 8 Favorecimiento culposo del sabotaje o dantildeo
bull Artiacuteculo 9 Acceso indebido o sabotaje a sistemas protegidos
bull Artiacuteculo 10 Posesioacuten de equipos o prestacioacuten de servicios de sabotaje
bull Artiacuteculo 11 Espionaje informaacutetico
bull Artiacuteculo 12 Falsificacioacuten de documentos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 83
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Propiedad
bull Artiacuteculo 13 Hurto
bull Artiacuteculo 14 Fraude
bull Artiacuteculo 15 Obtencioacuten indebida de bienes o servicios
bull Artiacuteculo 16 Manejo fraudulento de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 17 Apropiacioacuten de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 18 Provisioacuten indebida de bienes o servicios
bull Artiacuteculo 19 Posesioacuten de equipo para falsificaciones
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 84
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Privacidad de las Personas y de las Comunicaciones
bullArtiacuteculo 20 Violacioacuten de la privacidad de la data o informacioacuten de caraacutecter personal
bullArtiacuteculo 21 Violacioacuten de la privacidad de las comunicaciones
bullArtiacuteculo 22 Revelacioacuten indebida de data o informacioacuten de caraacutecter personal
De los Delitos Contra Nintildeos Nintildeas o Adolescentes
bullArtiacuteculo 23 Difusioacuten o exhibicioacuten de material pornograacutefico
bullArtiacuteculo 24 Exhibicioacuten pornograacutefica de nintildeos o adolescentes
De los Delitos Contra el Orden Econoacutemico
bullArtiacuteculo 25 Apropiacioacuten de propiedad intelectual
bullArtiacuteculo 26 Oferta engantildeosa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 85
Plan de Contingencia Continuidad Operacional
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 86
Plan de Contingencia
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 87
ldquoConjunto de Normas y Procedimientos documentadosy comunicados que tienen por objetivo minimizar los riesgos informaacuteticos mas probablesrdquo
InvolucrabullUso de herramientas
bullCumplimiento de Tareas por
parte de personas
Plan de Contingencia
Consta de tres subplanes independientes
bull Plan de Respaldo crear y conservar en un lugar seguro copias de seguridad de la informacioacuten
bull Pla de Emergencia queacute medidas tomar cuando se estaacute materializando una amenaza o cuando acaba de producirse
bull Plan de Recuperacioacuten medidas que se aplicaran cuando se ha producido un desastre El objetivo es evaluar el impacto y regresar lo antes posible
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 88
Plan de Contingencia
En la elaboracioacuten de este plan no se puede dejar por fuera a los miembros de la organizacioacuten el cual debe estar informado y entrenado para actuar en las funciones que le hayan sido encomendadas en caso de producirse una amenaza o impacto
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 89
Continuidad Operacional
Business Continuity Planning (Plan de Continuidad de negocios)
bull Plan Baacutesico
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Coldsite)
bull Plan Intermedio
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan Alto
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan de respuesta y continuidad de negocios alternativo (sin asistencia de sistemas)
bull Stress Testing al Plan
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 90
El Stress Testing
bull Poner a prueba el planbull Revise y evalueacute
bull Respaldosbull Oportunidad integridad y funcionalidadbull Custodia y transporte
bull Cold y Hotsitebull Funcionalidad accesibilidad y compatibilidadbull Actualizacioacuten oportuna (hotsite)
bull Personalbull Roles y funcionesbull Accesibilidad (contactos y comunicaciones)
bull Simulacioacuten de cataacutestrofesbull Sin previo aviso el director encargado del BCP se presenta en el centro de computo
cronometro en mano y baja la cuchilla de electricidad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 91
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de Lehman Brothers
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el WorldTrade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehman se desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del World Trade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehman teniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 92
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de LehmanBrothers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 93
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el World Trade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehmanse desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 94
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del WorldTrade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehmanteniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 95
La Contingencia Manual la Uacuteltima Frontera
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 96
05062015 97
DATOS BAacuteSICOS
Responsable A Nivel Corporativo Responsable(s) A Nivel Regional
PROVEEDOR (ES)
Origen Responsable Insumo (s)
RESULTADOS
Normas y Procedimientos Asociados Fecha uacuteltima revisioacuten Sistemas Aplicaciones Asociadas
Proceso
CALIFICACIOacuteN DE CONTROLES DE ENTRADA
Actividad
RECOMENDACIONES
Procesamiento
Automaacutetico (A)Manual (M)
Frecuencia
Adiestramiento Proceso Sistema N y P Otros
Negocio Area Localidad
Responsable
Nombre CargoNombre Cargo
NOMBRE
ELABORADO POR
CARGO FIRMA
Calidad de Data (B) Buena (R) Regular (M) Mala Oportunidad (AT) A Tiempo (R) Retrasada Revisioacuten Aprobacioacuten (S) Si (N) NoLEYENDA
Calificacioacuten (F) Fuerte (M) Medio (B) Bajo
DescripcioacutenResponsableDescripcioacuten
Tarea
Descripcioacuten
FRECUENCIA DE LA TAREA Diaria (D) Semanal (S) Mensual (M) Trimestral (T) Anual (A) Ocasional (O)
Soportes Recepcioacuten (P) Papel (E) Electroacutenico Archivo (S) Si (N) No Soportes Enviacuteo (S) Si (N) No Backup (S) Si (N) No
Producto (s) Cliente ReceptorControl
de salida
SoportesFrecuencia
Recepcioacuten Backup
DOCUMENTOS SISTEMAS ASOCIADOS A LOS CONTROLES
CALIFICACIOacuteN DE CONTROLES (por parte del Cliente Receptor)
Revisioacuten
Aprobacioacuten
Revisioacuten
AprobacioacutenTipo de control
Procesamiento
Automaacutetico (A)Manual (M)
Control
De EntradaTipo de control
Soportes
Recepcioacuten Archivo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 98
DATOS BAacuteSICOS
TareaActividad
Proceso Responsable del Proceso
Fecha de Elaboracioacuten 2015
Accioacuten (es) Responsable (s)
OBSERVACIONES ELABORADO POR
FIRMA
NOMBRE
Plan de recuperacioacuten y Reactivacioacuten de Finanzas
Recomendaciones Acciones
La Cadena de Valor de una Organizacioacuten de Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 99
ASESORAR EN CONTROLES DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR DELEGACIONES FINANCIERAS
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
CONTROLAR SEGURIDAD SISTEMA
OPERACIONALES ADMINISTRATIVOS Y OTROS
SISTEMAS FINANCIEROS
DESARROLLAR CONTROLES
DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR Y DESARROLLAR PLAN INTEGRAL DE CONTROL ( PIC )
Asesorar en controles de procesos normas y
Procedimientos
Administrar delegaciones financieras
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
Controlar seguridad sistema
operacionales administrativos y otros
sistemas financieros
Desarrollar
controles de
procesos
normas y
procedimientos
Administrar y desarrollar plan integral de control ( PIC )
78
Ataques de Seguridad
bull Spoofing Los ataques tipo spoofing sonaquellos en los que una persona oprograma logra hacerse pasar por otrafalsificando informacioacuten o utilizando laingenieriacutea algunos ataques tipo spoofingson los siguientes
- Falsificacioacuten de direccioacuten de email
- Falsificacioacuten de ID de llamadas telefoacutenicas
- Falsificacioacuten de sitios de internet (phishing)
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
79
Ataques de Seguridad
bull Phishing Es el uso de teacutecnicas deingenieriacutea social con la finalidad deadquirir de manera fraudulentainformacioacuten confidencial comonombres de usuarios contrasentildeasinformacioacuten de tarjetas de creacutedito
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
80
Ataques de Seguridad
bull Ingenieriacutea Social Se refiere a unacoleccioacuten de teacutecnicas utilizadas paramanipular a las personas para querealicen alguna accioacuten o divulgueninformacioacuten confidencial
Algunos ingenieros sociales notablesson
- Kevin Mitnik
- Frank Abagnale
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
Ingenieriacutea Social
Es el conjunto de meacutetodos y praacutecticas usados para obtener informacioacuten de usuarios legiacutetimos y con la informacioacuten obtenida lograr acceso a sistemas protegidos siendo esta praacutectica de uso comuacuten entre piratas informaacuteticos y delincuentes computacionales
Coacutemo me afecta Al no validar las referencias o no seguir el protocolo de seguridad adecuado para divulgar contrasentildeas o cualquier otra informacioacuten sensible podemos ser coacutemplices de un crimen Meacutexico ha acordado con organismos internacionales la homologacioacuten yo adecuacioacuten de coacutedigos penales para que estos delitos sean perseguidos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 81
Ingenieriacutea Social
Coacutemo puedo saber si estoy siendo viacutectima de un ingeniero social Muy simple cuando alguien nos pide alguacuten tipo de informacioacuten privilegiada y esta persona es insistente cuando le requerimos seguir un protocolo para validar su intencioacuten es altamente probable que estemos siendo viacutectimas de un intento de robo de informacioacuten por un ingeniero socialhacker
Coacutemo puedo evitarlo Sencillo si no confiamos en la persona que nos solicita los datos (supongamos un teacutecnico de soporte de nuestro lugar de trabajo) podemos pedirle que nos deje sus datos y comunicarnos con el 10 minutos despueacutes de validar que la peticioacuten es legiacutetima es decir soacutelo sigamos los protocolos que existen en el trabajo y crear los propios en casa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 82
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra los Sistemas que Utilizan Tecnologiacuteas de Informacioacuten
bull Artiacuteculo 6 Acceso indebido
bull Artiacuteculo 7 Sabotaje o dantildeo a sistemas
bull Artiacuteculo 8 Favorecimiento culposo del sabotaje o dantildeo
bull Artiacuteculo 9 Acceso indebido o sabotaje a sistemas protegidos
bull Artiacuteculo 10 Posesioacuten de equipos o prestacioacuten de servicios de sabotaje
bull Artiacuteculo 11 Espionaje informaacutetico
bull Artiacuteculo 12 Falsificacioacuten de documentos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 83
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Propiedad
bull Artiacuteculo 13 Hurto
bull Artiacuteculo 14 Fraude
bull Artiacuteculo 15 Obtencioacuten indebida de bienes o servicios
bull Artiacuteculo 16 Manejo fraudulento de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 17 Apropiacioacuten de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 18 Provisioacuten indebida de bienes o servicios
bull Artiacuteculo 19 Posesioacuten de equipo para falsificaciones
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 84
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Privacidad de las Personas y de las Comunicaciones
bullArtiacuteculo 20 Violacioacuten de la privacidad de la data o informacioacuten de caraacutecter personal
bullArtiacuteculo 21 Violacioacuten de la privacidad de las comunicaciones
bullArtiacuteculo 22 Revelacioacuten indebida de data o informacioacuten de caraacutecter personal
De los Delitos Contra Nintildeos Nintildeas o Adolescentes
bullArtiacuteculo 23 Difusioacuten o exhibicioacuten de material pornograacutefico
bullArtiacuteculo 24 Exhibicioacuten pornograacutefica de nintildeos o adolescentes
De los Delitos Contra el Orden Econoacutemico
bullArtiacuteculo 25 Apropiacioacuten de propiedad intelectual
bullArtiacuteculo 26 Oferta engantildeosa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 85
Plan de Contingencia Continuidad Operacional
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 86
Plan de Contingencia
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 87
ldquoConjunto de Normas y Procedimientos documentadosy comunicados que tienen por objetivo minimizar los riesgos informaacuteticos mas probablesrdquo
InvolucrabullUso de herramientas
bullCumplimiento de Tareas por
parte de personas
Plan de Contingencia
Consta de tres subplanes independientes
bull Plan de Respaldo crear y conservar en un lugar seguro copias de seguridad de la informacioacuten
bull Pla de Emergencia queacute medidas tomar cuando se estaacute materializando una amenaza o cuando acaba de producirse
bull Plan de Recuperacioacuten medidas que se aplicaran cuando se ha producido un desastre El objetivo es evaluar el impacto y regresar lo antes posible
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 88
Plan de Contingencia
En la elaboracioacuten de este plan no se puede dejar por fuera a los miembros de la organizacioacuten el cual debe estar informado y entrenado para actuar en las funciones que le hayan sido encomendadas en caso de producirse una amenaza o impacto
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 89
Continuidad Operacional
Business Continuity Planning (Plan de Continuidad de negocios)
bull Plan Baacutesico
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Coldsite)
bull Plan Intermedio
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan Alto
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan de respuesta y continuidad de negocios alternativo (sin asistencia de sistemas)
bull Stress Testing al Plan
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 90
El Stress Testing
bull Poner a prueba el planbull Revise y evalueacute
bull Respaldosbull Oportunidad integridad y funcionalidadbull Custodia y transporte
bull Cold y Hotsitebull Funcionalidad accesibilidad y compatibilidadbull Actualizacioacuten oportuna (hotsite)
bull Personalbull Roles y funcionesbull Accesibilidad (contactos y comunicaciones)
bull Simulacioacuten de cataacutestrofesbull Sin previo aviso el director encargado del BCP se presenta en el centro de computo
cronometro en mano y baja la cuchilla de electricidad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 91
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de Lehman Brothers
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el WorldTrade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehman se desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del World Trade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehman teniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 92
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de LehmanBrothers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 93
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el World Trade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehmanse desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 94
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del WorldTrade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehmanteniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 95
La Contingencia Manual la Uacuteltima Frontera
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 96
05062015 97
DATOS BAacuteSICOS
Responsable A Nivel Corporativo Responsable(s) A Nivel Regional
PROVEEDOR (ES)
Origen Responsable Insumo (s)
RESULTADOS
Normas y Procedimientos Asociados Fecha uacuteltima revisioacuten Sistemas Aplicaciones Asociadas
Proceso
CALIFICACIOacuteN DE CONTROLES DE ENTRADA
Actividad
RECOMENDACIONES
Procesamiento
Automaacutetico (A)Manual (M)
Frecuencia
Adiestramiento Proceso Sistema N y P Otros
Negocio Area Localidad
Responsable
Nombre CargoNombre Cargo
NOMBRE
ELABORADO POR
CARGO FIRMA
Calidad de Data (B) Buena (R) Regular (M) Mala Oportunidad (AT) A Tiempo (R) Retrasada Revisioacuten Aprobacioacuten (S) Si (N) NoLEYENDA
Calificacioacuten (F) Fuerte (M) Medio (B) Bajo
DescripcioacutenResponsableDescripcioacuten
Tarea
Descripcioacuten
FRECUENCIA DE LA TAREA Diaria (D) Semanal (S) Mensual (M) Trimestral (T) Anual (A) Ocasional (O)
Soportes Recepcioacuten (P) Papel (E) Electroacutenico Archivo (S) Si (N) No Soportes Enviacuteo (S) Si (N) No Backup (S) Si (N) No
Producto (s) Cliente ReceptorControl
de salida
SoportesFrecuencia
Recepcioacuten Backup
DOCUMENTOS SISTEMAS ASOCIADOS A LOS CONTROLES
CALIFICACIOacuteN DE CONTROLES (por parte del Cliente Receptor)
Revisioacuten
Aprobacioacuten
Revisioacuten
AprobacioacutenTipo de control
Procesamiento
Automaacutetico (A)Manual (M)
Control
De EntradaTipo de control
Soportes
Recepcioacuten Archivo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 98
DATOS BAacuteSICOS
TareaActividad
Proceso Responsable del Proceso
Fecha de Elaboracioacuten 2015
Accioacuten (es) Responsable (s)
OBSERVACIONES ELABORADO POR
FIRMA
NOMBRE
Plan de recuperacioacuten y Reactivacioacuten de Finanzas
Recomendaciones Acciones
La Cadena de Valor de una Organizacioacuten de Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 99
ASESORAR EN CONTROLES DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR DELEGACIONES FINANCIERAS
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
CONTROLAR SEGURIDAD SISTEMA
OPERACIONALES ADMINISTRATIVOS Y OTROS
SISTEMAS FINANCIEROS
DESARROLLAR CONTROLES
DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR Y DESARROLLAR PLAN INTEGRAL DE CONTROL ( PIC )
Asesorar en controles de procesos normas y
Procedimientos
Administrar delegaciones financieras
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
Controlar seguridad sistema
operacionales administrativos y otros
sistemas financieros
Desarrollar
controles de
procesos
normas y
procedimientos
Administrar y desarrollar plan integral de control ( PIC )
79
Ataques de Seguridad
bull Phishing Es el uso de teacutecnicas deingenieriacutea social con la finalidad deadquirir de manera fraudulentainformacioacuten confidencial comonombres de usuarios contrasentildeasinformacioacuten de tarjetas de creacutedito
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
80
Ataques de Seguridad
bull Ingenieriacutea Social Se refiere a unacoleccioacuten de teacutecnicas utilizadas paramanipular a las personas para querealicen alguna accioacuten o divulgueninformacioacuten confidencial
Algunos ingenieros sociales notablesson
- Kevin Mitnik
- Frank Abagnale
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
Ingenieriacutea Social
Es el conjunto de meacutetodos y praacutecticas usados para obtener informacioacuten de usuarios legiacutetimos y con la informacioacuten obtenida lograr acceso a sistemas protegidos siendo esta praacutectica de uso comuacuten entre piratas informaacuteticos y delincuentes computacionales
Coacutemo me afecta Al no validar las referencias o no seguir el protocolo de seguridad adecuado para divulgar contrasentildeas o cualquier otra informacioacuten sensible podemos ser coacutemplices de un crimen Meacutexico ha acordado con organismos internacionales la homologacioacuten yo adecuacioacuten de coacutedigos penales para que estos delitos sean perseguidos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 81
Ingenieriacutea Social
Coacutemo puedo saber si estoy siendo viacutectima de un ingeniero social Muy simple cuando alguien nos pide alguacuten tipo de informacioacuten privilegiada y esta persona es insistente cuando le requerimos seguir un protocolo para validar su intencioacuten es altamente probable que estemos siendo viacutectimas de un intento de robo de informacioacuten por un ingeniero socialhacker
Coacutemo puedo evitarlo Sencillo si no confiamos en la persona que nos solicita los datos (supongamos un teacutecnico de soporte de nuestro lugar de trabajo) podemos pedirle que nos deje sus datos y comunicarnos con el 10 minutos despueacutes de validar que la peticioacuten es legiacutetima es decir soacutelo sigamos los protocolos que existen en el trabajo y crear los propios en casa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 82
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra los Sistemas que Utilizan Tecnologiacuteas de Informacioacuten
bull Artiacuteculo 6 Acceso indebido
bull Artiacuteculo 7 Sabotaje o dantildeo a sistemas
bull Artiacuteculo 8 Favorecimiento culposo del sabotaje o dantildeo
bull Artiacuteculo 9 Acceso indebido o sabotaje a sistemas protegidos
bull Artiacuteculo 10 Posesioacuten de equipos o prestacioacuten de servicios de sabotaje
bull Artiacuteculo 11 Espionaje informaacutetico
bull Artiacuteculo 12 Falsificacioacuten de documentos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 83
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Propiedad
bull Artiacuteculo 13 Hurto
bull Artiacuteculo 14 Fraude
bull Artiacuteculo 15 Obtencioacuten indebida de bienes o servicios
bull Artiacuteculo 16 Manejo fraudulento de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 17 Apropiacioacuten de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 18 Provisioacuten indebida de bienes o servicios
bull Artiacuteculo 19 Posesioacuten de equipo para falsificaciones
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 84
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Privacidad de las Personas y de las Comunicaciones
bullArtiacuteculo 20 Violacioacuten de la privacidad de la data o informacioacuten de caraacutecter personal
bullArtiacuteculo 21 Violacioacuten de la privacidad de las comunicaciones
bullArtiacuteculo 22 Revelacioacuten indebida de data o informacioacuten de caraacutecter personal
De los Delitos Contra Nintildeos Nintildeas o Adolescentes
bullArtiacuteculo 23 Difusioacuten o exhibicioacuten de material pornograacutefico
bullArtiacuteculo 24 Exhibicioacuten pornograacutefica de nintildeos o adolescentes
De los Delitos Contra el Orden Econoacutemico
bullArtiacuteculo 25 Apropiacioacuten de propiedad intelectual
bullArtiacuteculo 26 Oferta engantildeosa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 85
Plan de Contingencia Continuidad Operacional
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 86
Plan de Contingencia
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 87
ldquoConjunto de Normas y Procedimientos documentadosy comunicados que tienen por objetivo minimizar los riesgos informaacuteticos mas probablesrdquo
InvolucrabullUso de herramientas
bullCumplimiento de Tareas por
parte de personas
Plan de Contingencia
Consta de tres subplanes independientes
bull Plan de Respaldo crear y conservar en un lugar seguro copias de seguridad de la informacioacuten
bull Pla de Emergencia queacute medidas tomar cuando se estaacute materializando una amenaza o cuando acaba de producirse
bull Plan de Recuperacioacuten medidas que se aplicaran cuando se ha producido un desastre El objetivo es evaluar el impacto y regresar lo antes posible
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 88
Plan de Contingencia
En la elaboracioacuten de este plan no se puede dejar por fuera a los miembros de la organizacioacuten el cual debe estar informado y entrenado para actuar en las funciones que le hayan sido encomendadas en caso de producirse una amenaza o impacto
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 89
Continuidad Operacional
Business Continuity Planning (Plan de Continuidad de negocios)
bull Plan Baacutesico
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Coldsite)
bull Plan Intermedio
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan Alto
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan de respuesta y continuidad de negocios alternativo (sin asistencia de sistemas)
bull Stress Testing al Plan
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 90
El Stress Testing
bull Poner a prueba el planbull Revise y evalueacute
bull Respaldosbull Oportunidad integridad y funcionalidadbull Custodia y transporte
bull Cold y Hotsitebull Funcionalidad accesibilidad y compatibilidadbull Actualizacioacuten oportuna (hotsite)
bull Personalbull Roles y funcionesbull Accesibilidad (contactos y comunicaciones)
bull Simulacioacuten de cataacutestrofesbull Sin previo aviso el director encargado del BCP se presenta en el centro de computo
cronometro en mano y baja la cuchilla de electricidad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 91
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de Lehman Brothers
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el WorldTrade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehman se desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del World Trade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehman teniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 92
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de LehmanBrothers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 93
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el World Trade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehmanse desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 94
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del WorldTrade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehmanteniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 95
La Contingencia Manual la Uacuteltima Frontera
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 96
05062015 97
DATOS BAacuteSICOS
Responsable A Nivel Corporativo Responsable(s) A Nivel Regional
PROVEEDOR (ES)
Origen Responsable Insumo (s)
RESULTADOS
Normas y Procedimientos Asociados Fecha uacuteltima revisioacuten Sistemas Aplicaciones Asociadas
Proceso
CALIFICACIOacuteN DE CONTROLES DE ENTRADA
Actividad
RECOMENDACIONES
Procesamiento
Automaacutetico (A)Manual (M)
Frecuencia
Adiestramiento Proceso Sistema N y P Otros
Negocio Area Localidad
Responsable
Nombre CargoNombre Cargo
NOMBRE
ELABORADO POR
CARGO FIRMA
Calidad de Data (B) Buena (R) Regular (M) Mala Oportunidad (AT) A Tiempo (R) Retrasada Revisioacuten Aprobacioacuten (S) Si (N) NoLEYENDA
Calificacioacuten (F) Fuerte (M) Medio (B) Bajo
DescripcioacutenResponsableDescripcioacuten
Tarea
Descripcioacuten
FRECUENCIA DE LA TAREA Diaria (D) Semanal (S) Mensual (M) Trimestral (T) Anual (A) Ocasional (O)
Soportes Recepcioacuten (P) Papel (E) Electroacutenico Archivo (S) Si (N) No Soportes Enviacuteo (S) Si (N) No Backup (S) Si (N) No
Producto (s) Cliente ReceptorControl
de salida
SoportesFrecuencia
Recepcioacuten Backup
DOCUMENTOS SISTEMAS ASOCIADOS A LOS CONTROLES
CALIFICACIOacuteN DE CONTROLES (por parte del Cliente Receptor)
Revisioacuten
Aprobacioacuten
Revisioacuten
AprobacioacutenTipo de control
Procesamiento
Automaacutetico (A)Manual (M)
Control
De EntradaTipo de control
Soportes
Recepcioacuten Archivo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 98
DATOS BAacuteSICOS
TareaActividad
Proceso Responsable del Proceso
Fecha de Elaboracioacuten 2015
Accioacuten (es) Responsable (s)
OBSERVACIONES ELABORADO POR
FIRMA
NOMBRE
Plan de recuperacioacuten y Reactivacioacuten de Finanzas
Recomendaciones Acciones
La Cadena de Valor de una Organizacioacuten de Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 99
ASESORAR EN CONTROLES DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR DELEGACIONES FINANCIERAS
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
CONTROLAR SEGURIDAD SISTEMA
OPERACIONALES ADMINISTRATIVOS Y OTROS
SISTEMAS FINANCIEROS
DESARROLLAR CONTROLES
DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR Y DESARROLLAR PLAN INTEGRAL DE CONTROL ( PIC )
Asesorar en controles de procesos normas y
Procedimientos
Administrar delegaciones financieras
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
Controlar seguridad sistema
operacionales administrativos y otros
sistemas financieros
Desarrollar
controles de
procesos
normas y
procedimientos
Administrar y desarrollar plan integral de control ( PIC )
80
Ataques de Seguridad
bull Ingenieriacutea Social Se refiere a unacoleccioacuten de teacutecnicas utilizadas paramanipular a las personas para querealicen alguna accioacuten o divulgueninformacioacuten confidencial
Algunos ingenieros sociales notablesson
- Kevin Mitnik
- Frank Abagnale
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos
Ingenieriacutea Social
Es el conjunto de meacutetodos y praacutecticas usados para obtener informacioacuten de usuarios legiacutetimos y con la informacioacuten obtenida lograr acceso a sistemas protegidos siendo esta praacutectica de uso comuacuten entre piratas informaacuteticos y delincuentes computacionales
Coacutemo me afecta Al no validar las referencias o no seguir el protocolo de seguridad adecuado para divulgar contrasentildeas o cualquier otra informacioacuten sensible podemos ser coacutemplices de un crimen Meacutexico ha acordado con organismos internacionales la homologacioacuten yo adecuacioacuten de coacutedigos penales para que estos delitos sean perseguidos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 81
Ingenieriacutea Social
Coacutemo puedo saber si estoy siendo viacutectima de un ingeniero social Muy simple cuando alguien nos pide alguacuten tipo de informacioacuten privilegiada y esta persona es insistente cuando le requerimos seguir un protocolo para validar su intencioacuten es altamente probable que estemos siendo viacutectimas de un intento de robo de informacioacuten por un ingeniero socialhacker
Coacutemo puedo evitarlo Sencillo si no confiamos en la persona que nos solicita los datos (supongamos un teacutecnico de soporte de nuestro lugar de trabajo) podemos pedirle que nos deje sus datos y comunicarnos con el 10 minutos despueacutes de validar que la peticioacuten es legiacutetima es decir soacutelo sigamos los protocolos que existen en el trabajo y crear los propios en casa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 82
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra los Sistemas que Utilizan Tecnologiacuteas de Informacioacuten
bull Artiacuteculo 6 Acceso indebido
bull Artiacuteculo 7 Sabotaje o dantildeo a sistemas
bull Artiacuteculo 8 Favorecimiento culposo del sabotaje o dantildeo
bull Artiacuteculo 9 Acceso indebido o sabotaje a sistemas protegidos
bull Artiacuteculo 10 Posesioacuten de equipos o prestacioacuten de servicios de sabotaje
bull Artiacuteculo 11 Espionaje informaacutetico
bull Artiacuteculo 12 Falsificacioacuten de documentos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 83
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Propiedad
bull Artiacuteculo 13 Hurto
bull Artiacuteculo 14 Fraude
bull Artiacuteculo 15 Obtencioacuten indebida de bienes o servicios
bull Artiacuteculo 16 Manejo fraudulento de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 17 Apropiacioacuten de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 18 Provisioacuten indebida de bienes o servicios
bull Artiacuteculo 19 Posesioacuten de equipo para falsificaciones
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 84
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Privacidad de las Personas y de las Comunicaciones
bullArtiacuteculo 20 Violacioacuten de la privacidad de la data o informacioacuten de caraacutecter personal
bullArtiacuteculo 21 Violacioacuten de la privacidad de las comunicaciones
bullArtiacuteculo 22 Revelacioacuten indebida de data o informacioacuten de caraacutecter personal
De los Delitos Contra Nintildeos Nintildeas o Adolescentes
bullArtiacuteculo 23 Difusioacuten o exhibicioacuten de material pornograacutefico
bullArtiacuteculo 24 Exhibicioacuten pornograacutefica de nintildeos o adolescentes
De los Delitos Contra el Orden Econoacutemico
bullArtiacuteculo 25 Apropiacioacuten de propiedad intelectual
bullArtiacuteculo 26 Oferta engantildeosa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 85
Plan de Contingencia Continuidad Operacional
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 86
Plan de Contingencia
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 87
ldquoConjunto de Normas y Procedimientos documentadosy comunicados que tienen por objetivo minimizar los riesgos informaacuteticos mas probablesrdquo
InvolucrabullUso de herramientas
bullCumplimiento de Tareas por
parte de personas
Plan de Contingencia
Consta de tres subplanes independientes
bull Plan de Respaldo crear y conservar en un lugar seguro copias de seguridad de la informacioacuten
bull Pla de Emergencia queacute medidas tomar cuando se estaacute materializando una amenaza o cuando acaba de producirse
bull Plan de Recuperacioacuten medidas que se aplicaran cuando se ha producido un desastre El objetivo es evaluar el impacto y regresar lo antes posible
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 88
Plan de Contingencia
En la elaboracioacuten de este plan no se puede dejar por fuera a los miembros de la organizacioacuten el cual debe estar informado y entrenado para actuar en las funciones que le hayan sido encomendadas en caso de producirse una amenaza o impacto
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 89
Continuidad Operacional
Business Continuity Planning (Plan de Continuidad de negocios)
bull Plan Baacutesico
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Coldsite)
bull Plan Intermedio
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan Alto
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan de respuesta y continuidad de negocios alternativo (sin asistencia de sistemas)
bull Stress Testing al Plan
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 90
El Stress Testing
bull Poner a prueba el planbull Revise y evalueacute
bull Respaldosbull Oportunidad integridad y funcionalidadbull Custodia y transporte
bull Cold y Hotsitebull Funcionalidad accesibilidad y compatibilidadbull Actualizacioacuten oportuna (hotsite)
bull Personalbull Roles y funcionesbull Accesibilidad (contactos y comunicaciones)
bull Simulacioacuten de cataacutestrofesbull Sin previo aviso el director encargado del BCP se presenta en el centro de computo
cronometro en mano y baja la cuchilla de electricidad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 91
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de Lehman Brothers
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el WorldTrade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehman se desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del World Trade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehman teniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 92
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de LehmanBrothers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 93
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el World Trade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehmanse desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 94
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del WorldTrade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehmanteniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 95
La Contingencia Manual la Uacuteltima Frontera
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 96
05062015 97
DATOS BAacuteSICOS
Responsable A Nivel Corporativo Responsable(s) A Nivel Regional
PROVEEDOR (ES)
Origen Responsable Insumo (s)
RESULTADOS
Normas y Procedimientos Asociados Fecha uacuteltima revisioacuten Sistemas Aplicaciones Asociadas
Proceso
CALIFICACIOacuteN DE CONTROLES DE ENTRADA
Actividad
RECOMENDACIONES
Procesamiento
Automaacutetico (A)Manual (M)
Frecuencia
Adiestramiento Proceso Sistema N y P Otros
Negocio Area Localidad
Responsable
Nombre CargoNombre Cargo
NOMBRE
ELABORADO POR
CARGO FIRMA
Calidad de Data (B) Buena (R) Regular (M) Mala Oportunidad (AT) A Tiempo (R) Retrasada Revisioacuten Aprobacioacuten (S) Si (N) NoLEYENDA
Calificacioacuten (F) Fuerte (M) Medio (B) Bajo
DescripcioacutenResponsableDescripcioacuten
Tarea
Descripcioacuten
FRECUENCIA DE LA TAREA Diaria (D) Semanal (S) Mensual (M) Trimestral (T) Anual (A) Ocasional (O)
Soportes Recepcioacuten (P) Papel (E) Electroacutenico Archivo (S) Si (N) No Soportes Enviacuteo (S) Si (N) No Backup (S) Si (N) No
Producto (s) Cliente ReceptorControl
de salida
SoportesFrecuencia
Recepcioacuten Backup
DOCUMENTOS SISTEMAS ASOCIADOS A LOS CONTROLES
CALIFICACIOacuteN DE CONTROLES (por parte del Cliente Receptor)
Revisioacuten
Aprobacioacuten
Revisioacuten
AprobacioacutenTipo de control
Procesamiento
Automaacutetico (A)Manual (M)
Control
De EntradaTipo de control
Soportes
Recepcioacuten Archivo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 98
DATOS BAacuteSICOS
TareaActividad
Proceso Responsable del Proceso
Fecha de Elaboracioacuten 2015
Accioacuten (es) Responsable (s)
OBSERVACIONES ELABORADO POR
FIRMA
NOMBRE
Plan de recuperacioacuten y Reactivacioacuten de Finanzas
Recomendaciones Acciones
La Cadena de Valor de una Organizacioacuten de Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 99
ASESORAR EN CONTROLES DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR DELEGACIONES FINANCIERAS
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
CONTROLAR SEGURIDAD SISTEMA
OPERACIONALES ADMINISTRATIVOS Y OTROS
SISTEMAS FINANCIEROS
DESARROLLAR CONTROLES
DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR Y DESARROLLAR PLAN INTEGRAL DE CONTROL ( PIC )
Asesorar en controles de procesos normas y
Procedimientos
Administrar delegaciones financieras
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
Controlar seguridad sistema
operacionales administrativos y otros
sistemas financieros
Desarrollar
controles de
procesos
normas y
procedimientos
Administrar y desarrollar plan integral de control ( PIC )
Ingenieriacutea Social
Es el conjunto de meacutetodos y praacutecticas usados para obtener informacioacuten de usuarios legiacutetimos y con la informacioacuten obtenida lograr acceso a sistemas protegidos siendo esta praacutectica de uso comuacuten entre piratas informaacuteticos y delincuentes computacionales
Coacutemo me afecta Al no validar las referencias o no seguir el protocolo de seguridad adecuado para divulgar contrasentildeas o cualquier otra informacioacuten sensible podemos ser coacutemplices de un crimen Meacutexico ha acordado con organismos internacionales la homologacioacuten yo adecuacioacuten de coacutedigos penales para que estos delitos sean perseguidos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 81
Ingenieriacutea Social
Coacutemo puedo saber si estoy siendo viacutectima de un ingeniero social Muy simple cuando alguien nos pide alguacuten tipo de informacioacuten privilegiada y esta persona es insistente cuando le requerimos seguir un protocolo para validar su intencioacuten es altamente probable que estemos siendo viacutectimas de un intento de robo de informacioacuten por un ingeniero socialhacker
Coacutemo puedo evitarlo Sencillo si no confiamos en la persona que nos solicita los datos (supongamos un teacutecnico de soporte de nuestro lugar de trabajo) podemos pedirle que nos deje sus datos y comunicarnos con el 10 minutos despueacutes de validar que la peticioacuten es legiacutetima es decir soacutelo sigamos los protocolos que existen en el trabajo y crear los propios en casa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 82
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra los Sistemas que Utilizan Tecnologiacuteas de Informacioacuten
bull Artiacuteculo 6 Acceso indebido
bull Artiacuteculo 7 Sabotaje o dantildeo a sistemas
bull Artiacuteculo 8 Favorecimiento culposo del sabotaje o dantildeo
bull Artiacuteculo 9 Acceso indebido o sabotaje a sistemas protegidos
bull Artiacuteculo 10 Posesioacuten de equipos o prestacioacuten de servicios de sabotaje
bull Artiacuteculo 11 Espionaje informaacutetico
bull Artiacuteculo 12 Falsificacioacuten de documentos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 83
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Propiedad
bull Artiacuteculo 13 Hurto
bull Artiacuteculo 14 Fraude
bull Artiacuteculo 15 Obtencioacuten indebida de bienes o servicios
bull Artiacuteculo 16 Manejo fraudulento de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 17 Apropiacioacuten de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 18 Provisioacuten indebida de bienes o servicios
bull Artiacuteculo 19 Posesioacuten de equipo para falsificaciones
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 84
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Privacidad de las Personas y de las Comunicaciones
bullArtiacuteculo 20 Violacioacuten de la privacidad de la data o informacioacuten de caraacutecter personal
bullArtiacuteculo 21 Violacioacuten de la privacidad de las comunicaciones
bullArtiacuteculo 22 Revelacioacuten indebida de data o informacioacuten de caraacutecter personal
De los Delitos Contra Nintildeos Nintildeas o Adolescentes
bullArtiacuteculo 23 Difusioacuten o exhibicioacuten de material pornograacutefico
bullArtiacuteculo 24 Exhibicioacuten pornograacutefica de nintildeos o adolescentes
De los Delitos Contra el Orden Econoacutemico
bullArtiacuteculo 25 Apropiacioacuten de propiedad intelectual
bullArtiacuteculo 26 Oferta engantildeosa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 85
Plan de Contingencia Continuidad Operacional
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 86
Plan de Contingencia
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 87
ldquoConjunto de Normas y Procedimientos documentadosy comunicados que tienen por objetivo minimizar los riesgos informaacuteticos mas probablesrdquo
InvolucrabullUso de herramientas
bullCumplimiento de Tareas por
parte de personas
Plan de Contingencia
Consta de tres subplanes independientes
bull Plan de Respaldo crear y conservar en un lugar seguro copias de seguridad de la informacioacuten
bull Pla de Emergencia queacute medidas tomar cuando se estaacute materializando una amenaza o cuando acaba de producirse
bull Plan de Recuperacioacuten medidas que se aplicaran cuando se ha producido un desastre El objetivo es evaluar el impacto y regresar lo antes posible
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 88
Plan de Contingencia
En la elaboracioacuten de este plan no se puede dejar por fuera a los miembros de la organizacioacuten el cual debe estar informado y entrenado para actuar en las funciones que le hayan sido encomendadas en caso de producirse una amenaza o impacto
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 89
Continuidad Operacional
Business Continuity Planning (Plan de Continuidad de negocios)
bull Plan Baacutesico
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Coldsite)
bull Plan Intermedio
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan Alto
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan de respuesta y continuidad de negocios alternativo (sin asistencia de sistemas)
bull Stress Testing al Plan
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 90
El Stress Testing
bull Poner a prueba el planbull Revise y evalueacute
bull Respaldosbull Oportunidad integridad y funcionalidadbull Custodia y transporte
bull Cold y Hotsitebull Funcionalidad accesibilidad y compatibilidadbull Actualizacioacuten oportuna (hotsite)
bull Personalbull Roles y funcionesbull Accesibilidad (contactos y comunicaciones)
bull Simulacioacuten de cataacutestrofesbull Sin previo aviso el director encargado del BCP se presenta en el centro de computo
cronometro en mano y baja la cuchilla de electricidad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 91
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de Lehman Brothers
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el WorldTrade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehman se desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del World Trade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehman teniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 92
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de LehmanBrothers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 93
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el World Trade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehmanse desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 94
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del WorldTrade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehmanteniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 95
La Contingencia Manual la Uacuteltima Frontera
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 96
05062015 97
DATOS BAacuteSICOS
Responsable A Nivel Corporativo Responsable(s) A Nivel Regional
PROVEEDOR (ES)
Origen Responsable Insumo (s)
RESULTADOS
Normas y Procedimientos Asociados Fecha uacuteltima revisioacuten Sistemas Aplicaciones Asociadas
Proceso
CALIFICACIOacuteN DE CONTROLES DE ENTRADA
Actividad
RECOMENDACIONES
Procesamiento
Automaacutetico (A)Manual (M)
Frecuencia
Adiestramiento Proceso Sistema N y P Otros
Negocio Area Localidad
Responsable
Nombre CargoNombre Cargo
NOMBRE
ELABORADO POR
CARGO FIRMA
Calidad de Data (B) Buena (R) Regular (M) Mala Oportunidad (AT) A Tiempo (R) Retrasada Revisioacuten Aprobacioacuten (S) Si (N) NoLEYENDA
Calificacioacuten (F) Fuerte (M) Medio (B) Bajo
DescripcioacutenResponsableDescripcioacuten
Tarea
Descripcioacuten
FRECUENCIA DE LA TAREA Diaria (D) Semanal (S) Mensual (M) Trimestral (T) Anual (A) Ocasional (O)
Soportes Recepcioacuten (P) Papel (E) Electroacutenico Archivo (S) Si (N) No Soportes Enviacuteo (S) Si (N) No Backup (S) Si (N) No
Producto (s) Cliente ReceptorControl
de salida
SoportesFrecuencia
Recepcioacuten Backup
DOCUMENTOS SISTEMAS ASOCIADOS A LOS CONTROLES
CALIFICACIOacuteN DE CONTROLES (por parte del Cliente Receptor)
Revisioacuten
Aprobacioacuten
Revisioacuten
AprobacioacutenTipo de control
Procesamiento
Automaacutetico (A)Manual (M)
Control
De EntradaTipo de control
Soportes
Recepcioacuten Archivo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 98
DATOS BAacuteSICOS
TareaActividad
Proceso Responsable del Proceso
Fecha de Elaboracioacuten 2015
Accioacuten (es) Responsable (s)
OBSERVACIONES ELABORADO POR
FIRMA
NOMBRE
Plan de recuperacioacuten y Reactivacioacuten de Finanzas
Recomendaciones Acciones
La Cadena de Valor de una Organizacioacuten de Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 99
ASESORAR EN CONTROLES DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR DELEGACIONES FINANCIERAS
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
CONTROLAR SEGURIDAD SISTEMA
OPERACIONALES ADMINISTRATIVOS Y OTROS
SISTEMAS FINANCIEROS
DESARROLLAR CONTROLES
DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR Y DESARROLLAR PLAN INTEGRAL DE CONTROL ( PIC )
Asesorar en controles de procesos normas y
Procedimientos
Administrar delegaciones financieras
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
Controlar seguridad sistema
operacionales administrativos y otros
sistemas financieros
Desarrollar
controles de
procesos
normas y
procedimientos
Administrar y desarrollar plan integral de control ( PIC )
Ingenieriacutea Social
Coacutemo puedo saber si estoy siendo viacutectima de un ingeniero social Muy simple cuando alguien nos pide alguacuten tipo de informacioacuten privilegiada y esta persona es insistente cuando le requerimos seguir un protocolo para validar su intencioacuten es altamente probable que estemos siendo viacutectimas de un intento de robo de informacioacuten por un ingeniero socialhacker
Coacutemo puedo evitarlo Sencillo si no confiamos en la persona que nos solicita los datos (supongamos un teacutecnico de soporte de nuestro lugar de trabajo) podemos pedirle que nos deje sus datos y comunicarnos con el 10 minutos despueacutes de validar que la peticioacuten es legiacutetima es decir soacutelo sigamos los protocolos que existen en el trabajo y crear los propios en casa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 82
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra los Sistemas que Utilizan Tecnologiacuteas de Informacioacuten
bull Artiacuteculo 6 Acceso indebido
bull Artiacuteculo 7 Sabotaje o dantildeo a sistemas
bull Artiacuteculo 8 Favorecimiento culposo del sabotaje o dantildeo
bull Artiacuteculo 9 Acceso indebido o sabotaje a sistemas protegidos
bull Artiacuteculo 10 Posesioacuten de equipos o prestacioacuten de servicios de sabotaje
bull Artiacuteculo 11 Espionaje informaacutetico
bull Artiacuteculo 12 Falsificacioacuten de documentos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 83
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Propiedad
bull Artiacuteculo 13 Hurto
bull Artiacuteculo 14 Fraude
bull Artiacuteculo 15 Obtencioacuten indebida de bienes o servicios
bull Artiacuteculo 16 Manejo fraudulento de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 17 Apropiacioacuten de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 18 Provisioacuten indebida de bienes o servicios
bull Artiacuteculo 19 Posesioacuten de equipo para falsificaciones
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 84
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Privacidad de las Personas y de las Comunicaciones
bullArtiacuteculo 20 Violacioacuten de la privacidad de la data o informacioacuten de caraacutecter personal
bullArtiacuteculo 21 Violacioacuten de la privacidad de las comunicaciones
bullArtiacuteculo 22 Revelacioacuten indebida de data o informacioacuten de caraacutecter personal
De los Delitos Contra Nintildeos Nintildeas o Adolescentes
bullArtiacuteculo 23 Difusioacuten o exhibicioacuten de material pornograacutefico
bullArtiacuteculo 24 Exhibicioacuten pornograacutefica de nintildeos o adolescentes
De los Delitos Contra el Orden Econoacutemico
bullArtiacuteculo 25 Apropiacioacuten de propiedad intelectual
bullArtiacuteculo 26 Oferta engantildeosa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 85
Plan de Contingencia Continuidad Operacional
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 86
Plan de Contingencia
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 87
ldquoConjunto de Normas y Procedimientos documentadosy comunicados que tienen por objetivo minimizar los riesgos informaacuteticos mas probablesrdquo
InvolucrabullUso de herramientas
bullCumplimiento de Tareas por
parte de personas
Plan de Contingencia
Consta de tres subplanes independientes
bull Plan de Respaldo crear y conservar en un lugar seguro copias de seguridad de la informacioacuten
bull Pla de Emergencia queacute medidas tomar cuando se estaacute materializando una amenaza o cuando acaba de producirse
bull Plan de Recuperacioacuten medidas que se aplicaran cuando se ha producido un desastre El objetivo es evaluar el impacto y regresar lo antes posible
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 88
Plan de Contingencia
En la elaboracioacuten de este plan no se puede dejar por fuera a los miembros de la organizacioacuten el cual debe estar informado y entrenado para actuar en las funciones que le hayan sido encomendadas en caso de producirse una amenaza o impacto
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 89
Continuidad Operacional
Business Continuity Planning (Plan de Continuidad de negocios)
bull Plan Baacutesico
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Coldsite)
bull Plan Intermedio
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan Alto
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan de respuesta y continuidad de negocios alternativo (sin asistencia de sistemas)
bull Stress Testing al Plan
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 90
El Stress Testing
bull Poner a prueba el planbull Revise y evalueacute
bull Respaldosbull Oportunidad integridad y funcionalidadbull Custodia y transporte
bull Cold y Hotsitebull Funcionalidad accesibilidad y compatibilidadbull Actualizacioacuten oportuna (hotsite)
bull Personalbull Roles y funcionesbull Accesibilidad (contactos y comunicaciones)
bull Simulacioacuten de cataacutestrofesbull Sin previo aviso el director encargado del BCP se presenta en el centro de computo
cronometro en mano y baja la cuchilla de electricidad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 91
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de Lehman Brothers
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el WorldTrade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehman se desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del World Trade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehman teniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 92
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de LehmanBrothers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 93
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el World Trade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehmanse desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 94
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del WorldTrade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehmanteniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 95
La Contingencia Manual la Uacuteltima Frontera
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 96
05062015 97
DATOS BAacuteSICOS
Responsable A Nivel Corporativo Responsable(s) A Nivel Regional
PROVEEDOR (ES)
Origen Responsable Insumo (s)
RESULTADOS
Normas y Procedimientos Asociados Fecha uacuteltima revisioacuten Sistemas Aplicaciones Asociadas
Proceso
CALIFICACIOacuteN DE CONTROLES DE ENTRADA
Actividad
RECOMENDACIONES
Procesamiento
Automaacutetico (A)Manual (M)
Frecuencia
Adiestramiento Proceso Sistema N y P Otros
Negocio Area Localidad
Responsable
Nombre CargoNombre Cargo
NOMBRE
ELABORADO POR
CARGO FIRMA
Calidad de Data (B) Buena (R) Regular (M) Mala Oportunidad (AT) A Tiempo (R) Retrasada Revisioacuten Aprobacioacuten (S) Si (N) NoLEYENDA
Calificacioacuten (F) Fuerte (M) Medio (B) Bajo
DescripcioacutenResponsableDescripcioacuten
Tarea
Descripcioacuten
FRECUENCIA DE LA TAREA Diaria (D) Semanal (S) Mensual (M) Trimestral (T) Anual (A) Ocasional (O)
Soportes Recepcioacuten (P) Papel (E) Electroacutenico Archivo (S) Si (N) No Soportes Enviacuteo (S) Si (N) No Backup (S) Si (N) No
Producto (s) Cliente ReceptorControl
de salida
SoportesFrecuencia
Recepcioacuten Backup
DOCUMENTOS SISTEMAS ASOCIADOS A LOS CONTROLES
CALIFICACIOacuteN DE CONTROLES (por parte del Cliente Receptor)
Revisioacuten
Aprobacioacuten
Revisioacuten
AprobacioacutenTipo de control
Procesamiento
Automaacutetico (A)Manual (M)
Control
De EntradaTipo de control
Soportes
Recepcioacuten Archivo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 98
DATOS BAacuteSICOS
TareaActividad
Proceso Responsable del Proceso
Fecha de Elaboracioacuten 2015
Accioacuten (es) Responsable (s)
OBSERVACIONES ELABORADO POR
FIRMA
NOMBRE
Plan de recuperacioacuten y Reactivacioacuten de Finanzas
Recomendaciones Acciones
La Cadena de Valor de una Organizacioacuten de Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 99
ASESORAR EN CONTROLES DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR DELEGACIONES FINANCIERAS
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
CONTROLAR SEGURIDAD SISTEMA
OPERACIONALES ADMINISTRATIVOS Y OTROS
SISTEMAS FINANCIEROS
DESARROLLAR CONTROLES
DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR Y DESARROLLAR PLAN INTEGRAL DE CONTROL ( PIC )
Asesorar en controles de procesos normas y
Procedimientos
Administrar delegaciones financieras
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
Controlar seguridad sistema
operacionales administrativos y otros
sistemas financieros
Desarrollar
controles de
procesos
normas y
procedimientos
Administrar y desarrollar plan integral de control ( PIC )
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra los Sistemas que Utilizan Tecnologiacuteas de Informacioacuten
bull Artiacuteculo 6 Acceso indebido
bull Artiacuteculo 7 Sabotaje o dantildeo a sistemas
bull Artiacuteculo 8 Favorecimiento culposo del sabotaje o dantildeo
bull Artiacuteculo 9 Acceso indebido o sabotaje a sistemas protegidos
bull Artiacuteculo 10 Posesioacuten de equipos o prestacioacuten de servicios de sabotaje
bull Artiacuteculo 11 Espionaje informaacutetico
bull Artiacuteculo 12 Falsificacioacuten de documentos
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 83
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Propiedad
bull Artiacuteculo 13 Hurto
bull Artiacuteculo 14 Fraude
bull Artiacuteculo 15 Obtencioacuten indebida de bienes o servicios
bull Artiacuteculo 16 Manejo fraudulento de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 17 Apropiacioacuten de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 18 Provisioacuten indebida de bienes o servicios
bull Artiacuteculo 19 Posesioacuten de equipo para falsificaciones
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 84
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Privacidad de las Personas y de las Comunicaciones
bullArtiacuteculo 20 Violacioacuten de la privacidad de la data o informacioacuten de caraacutecter personal
bullArtiacuteculo 21 Violacioacuten de la privacidad de las comunicaciones
bullArtiacuteculo 22 Revelacioacuten indebida de data o informacioacuten de caraacutecter personal
De los Delitos Contra Nintildeos Nintildeas o Adolescentes
bullArtiacuteculo 23 Difusioacuten o exhibicioacuten de material pornograacutefico
bullArtiacuteculo 24 Exhibicioacuten pornograacutefica de nintildeos o adolescentes
De los Delitos Contra el Orden Econoacutemico
bullArtiacuteculo 25 Apropiacioacuten de propiedad intelectual
bullArtiacuteculo 26 Oferta engantildeosa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 85
Plan de Contingencia Continuidad Operacional
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 86
Plan de Contingencia
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 87
ldquoConjunto de Normas y Procedimientos documentadosy comunicados que tienen por objetivo minimizar los riesgos informaacuteticos mas probablesrdquo
InvolucrabullUso de herramientas
bullCumplimiento de Tareas por
parte de personas
Plan de Contingencia
Consta de tres subplanes independientes
bull Plan de Respaldo crear y conservar en un lugar seguro copias de seguridad de la informacioacuten
bull Pla de Emergencia queacute medidas tomar cuando se estaacute materializando una amenaza o cuando acaba de producirse
bull Plan de Recuperacioacuten medidas que se aplicaran cuando se ha producido un desastre El objetivo es evaluar el impacto y regresar lo antes posible
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 88
Plan de Contingencia
En la elaboracioacuten de este plan no se puede dejar por fuera a los miembros de la organizacioacuten el cual debe estar informado y entrenado para actuar en las funciones que le hayan sido encomendadas en caso de producirse una amenaza o impacto
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 89
Continuidad Operacional
Business Continuity Planning (Plan de Continuidad de negocios)
bull Plan Baacutesico
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Coldsite)
bull Plan Intermedio
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan Alto
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan de respuesta y continuidad de negocios alternativo (sin asistencia de sistemas)
bull Stress Testing al Plan
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 90
El Stress Testing
bull Poner a prueba el planbull Revise y evalueacute
bull Respaldosbull Oportunidad integridad y funcionalidadbull Custodia y transporte
bull Cold y Hotsitebull Funcionalidad accesibilidad y compatibilidadbull Actualizacioacuten oportuna (hotsite)
bull Personalbull Roles y funcionesbull Accesibilidad (contactos y comunicaciones)
bull Simulacioacuten de cataacutestrofesbull Sin previo aviso el director encargado del BCP se presenta en el centro de computo
cronometro en mano y baja la cuchilla de electricidad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 91
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de Lehman Brothers
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el WorldTrade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehman se desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del World Trade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehman teniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 92
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de LehmanBrothers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 93
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el World Trade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehmanse desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 94
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del WorldTrade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehmanteniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 95
La Contingencia Manual la Uacuteltima Frontera
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 96
05062015 97
DATOS BAacuteSICOS
Responsable A Nivel Corporativo Responsable(s) A Nivel Regional
PROVEEDOR (ES)
Origen Responsable Insumo (s)
RESULTADOS
Normas y Procedimientos Asociados Fecha uacuteltima revisioacuten Sistemas Aplicaciones Asociadas
Proceso
CALIFICACIOacuteN DE CONTROLES DE ENTRADA
Actividad
RECOMENDACIONES
Procesamiento
Automaacutetico (A)Manual (M)
Frecuencia
Adiestramiento Proceso Sistema N y P Otros
Negocio Area Localidad
Responsable
Nombre CargoNombre Cargo
NOMBRE
ELABORADO POR
CARGO FIRMA
Calidad de Data (B) Buena (R) Regular (M) Mala Oportunidad (AT) A Tiempo (R) Retrasada Revisioacuten Aprobacioacuten (S) Si (N) NoLEYENDA
Calificacioacuten (F) Fuerte (M) Medio (B) Bajo
DescripcioacutenResponsableDescripcioacuten
Tarea
Descripcioacuten
FRECUENCIA DE LA TAREA Diaria (D) Semanal (S) Mensual (M) Trimestral (T) Anual (A) Ocasional (O)
Soportes Recepcioacuten (P) Papel (E) Electroacutenico Archivo (S) Si (N) No Soportes Enviacuteo (S) Si (N) No Backup (S) Si (N) No
Producto (s) Cliente ReceptorControl
de salida
SoportesFrecuencia
Recepcioacuten Backup
DOCUMENTOS SISTEMAS ASOCIADOS A LOS CONTROLES
CALIFICACIOacuteN DE CONTROLES (por parte del Cliente Receptor)
Revisioacuten
Aprobacioacuten
Revisioacuten
AprobacioacutenTipo de control
Procesamiento
Automaacutetico (A)Manual (M)
Control
De EntradaTipo de control
Soportes
Recepcioacuten Archivo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 98
DATOS BAacuteSICOS
TareaActividad
Proceso Responsable del Proceso
Fecha de Elaboracioacuten 2015
Accioacuten (es) Responsable (s)
OBSERVACIONES ELABORADO POR
FIRMA
NOMBRE
Plan de recuperacioacuten y Reactivacioacuten de Finanzas
Recomendaciones Acciones
La Cadena de Valor de una Organizacioacuten de Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 99
ASESORAR EN CONTROLES DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR DELEGACIONES FINANCIERAS
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
CONTROLAR SEGURIDAD SISTEMA
OPERACIONALES ADMINISTRATIVOS Y OTROS
SISTEMAS FINANCIEROS
DESARROLLAR CONTROLES
DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR Y DESARROLLAR PLAN INTEGRAL DE CONTROL ( PIC )
Asesorar en controles de procesos normas y
Procedimientos
Administrar delegaciones financieras
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
Controlar seguridad sistema
operacionales administrativos y otros
sistemas financieros
Desarrollar
controles de
procesos
normas y
procedimientos
Administrar y desarrollar plan integral de control ( PIC )
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Propiedad
bull Artiacuteculo 13 Hurto
bull Artiacuteculo 14 Fraude
bull Artiacuteculo 15 Obtencioacuten indebida de bienes o servicios
bull Artiacuteculo 16 Manejo fraudulento de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 17 Apropiacioacuten de tarjetas inteligentes o instrumentos anaacutelogos
bull Artiacuteculo 18 Provisioacuten indebida de bienes o servicios
bull Artiacuteculo 19 Posesioacuten de equipo para falsificaciones
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 84
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Privacidad de las Personas y de las Comunicaciones
bullArtiacuteculo 20 Violacioacuten de la privacidad de la data o informacioacuten de caraacutecter personal
bullArtiacuteculo 21 Violacioacuten de la privacidad de las comunicaciones
bullArtiacuteculo 22 Revelacioacuten indebida de data o informacioacuten de caraacutecter personal
De los Delitos Contra Nintildeos Nintildeas o Adolescentes
bullArtiacuteculo 23 Difusioacuten o exhibicioacuten de material pornograacutefico
bullArtiacuteculo 24 Exhibicioacuten pornograacutefica de nintildeos o adolescentes
De los Delitos Contra el Orden Econoacutemico
bullArtiacuteculo 25 Apropiacioacuten de propiedad intelectual
bullArtiacuteculo 26 Oferta engantildeosa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 85
Plan de Contingencia Continuidad Operacional
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 86
Plan de Contingencia
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 87
ldquoConjunto de Normas y Procedimientos documentadosy comunicados que tienen por objetivo minimizar los riesgos informaacuteticos mas probablesrdquo
InvolucrabullUso de herramientas
bullCumplimiento de Tareas por
parte de personas
Plan de Contingencia
Consta de tres subplanes independientes
bull Plan de Respaldo crear y conservar en un lugar seguro copias de seguridad de la informacioacuten
bull Pla de Emergencia queacute medidas tomar cuando se estaacute materializando una amenaza o cuando acaba de producirse
bull Plan de Recuperacioacuten medidas que se aplicaran cuando se ha producido un desastre El objetivo es evaluar el impacto y regresar lo antes posible
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 88
Plan de Contingencia
En la elaboracioacuten de este plan no se puede dejar por fuera a los miembros de la organizacioacuten el cual debe estar informado y entrenado para actuar en las funciones que le hayan sido encomendadas en caso de producirse una amenaza o impacto
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 89
Continuidad Operacional
Business Continuity Planning (Plan de Continuidad de negocios)
bull Plan Baacutesico
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Coldsite)
bull Plan Intermedio
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan Alto
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan de respuesta y continuidad de negocios alternativo (sin asistencia de sistemas)
bull Stress Testing al Plan
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 90
El Stress Testing
bull Poner a prueba el planbull Revise y evalueacute
bull Respaldosbull Oportunidad integridad y funcionalidadbull Custodia y transporte
bull Cold y Hotsitebull Funcionalidad accesibilidad y compatibilidadbull Actualizacioacuten oportuna (hotsite)
bull Personalbull Roles y funcionesbull Accesibilidad (contactos y comunicaciones)
bull Simulacioacuten de cataacutestrofesbull Sin previo aviso el director encargado del BCP se presenta en el centro de computo
cronometro en mano y baja la cuchilla de electricidad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 91
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de Lehman Brothers
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el WorldTrade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehman se desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del World Trade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehman teniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 92
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de LehmanBrothers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 93
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el World Trade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehmanse desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 94
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del WorldTrade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehmanteniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 95
La Contingencia Manual la Uacuteltima Frontera
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 96
05062015 97
DATOS BAacuteSICOS
Responsable A Nivel Corporativo Responsable(s) A Nivel Regional
PROVEEDOR (ES)
Origen Responsable Insumo (s)
RESULTADOS
Normas y Procedimientos Asociados Fecha uacuteltima revisioacuten Sistemas Aplicaciones Asociadas
Proceso
CALIFICACIOacuteN DE CONTROLES DE ENTRADA
Actividad
RECOMENDACIONES
Procesamiento
Automaacutetico (A)Manual (M)
Frecuencia
Adiestramiento Proceso Sistema N y P Otros
Negocio Area Localidad
Responsable
Nombre CargoNombre Cargo
NOMBRE
ELABORADO POR
CARGO FIRMA
Calidad de Data (B) Buena (R) Regular (M) Mala Oportunidad (AT) A Tiempo (R) Retrasada Revisioacuten Aprobacioacuten (S) Si (N) NoLEYENDA
Calificacioacuten (F) Fuerte (M) Medio (B) Bajo
DescripcioacutenResponsableDescripcioacuten
Tarea
Descripcioacuten
FRECUENCIA DE LA TAREA Diaria (D) Semanal (S) Mensual (M) Trimestral (T) Anual (A) Ocasional (O)
Soportes Recepcioacuten (P) Papel (E) Electroacutenico Archivo (S) Si (N) No Soportes Enviacuteo (S) Si (N) No Backup (S) Si (N) No
Producto (s) Cliente ReceptorControl
de salida
SoportesFrecuencia
Recepcioacuten Backup
DOCUMENTOS SISTEMAS ASOCIADOS A LOS CONTROLES
CALIFICACIOacuteN DE CONTROLES (por parte del Cliente Receptor)
Revisioacuten
Aprobacioacuten
Revisioacuten
AprobacioacutenTipo de control
Procesamiento
Automaacutetico (A)Manual (M)
Control
De EntradaTipo de control
Soportes
Recepcioacuten Archivo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 98
DATOS BAacuteSICOS
TareaActividad
Proceso Responsable del Proceso
Fecha de Elaboracioacuten 2015
Accioacuten (es) Responsable (s)
OBSERVACIONES ELABORADO POR
FIRMA
NOMBRE
Plan de recuperacioacuten y Reactivacioacuten de Finanzas
Recomendaciones Acciones
La Cadena de Valor de una Organizacioacuten de Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 99
ASESORAR EN CONTROLES DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR DELEGACIONES FINANCIERAS
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
CONTROLAR SEGURIDAD SISTEMA
OPERACIONALES ADMINISTRATIVOS Y OTROS
SISTEMAS FINANCIEROS
DESARROLLAR CONTROLES
DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR Y DESARROLLAR PLAN INTEGRAL DE CONTROL ( PIC )
Asesorar en controles de procesos normas y
Procedimientos
Administrar delegaciones financieras
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
Controlar seguridad sistema
operacionales administrativos y otros
sistemas financieros
Desarrollar
controles de
procesos
normas y
procedimientos
Administrar y desarrollar plan integral de control ( PIC )
Tipificacioacuten del delito informaacutetico en VenezuelaLey Especial contra los Delitos Informaacuteticos
De los Delitos Contra la Privacidad de las Personas y de las Comunicaciones
bullArtiacuteculo 20 Violacioacuten de la privacidad de la data o informacioacuten de caraacutecter personal
bullArtiacuteculo 21 Violacioacuten de la privacidad de las comunicaciones
bullArtiacuteculo 22 Revelacioacuten indebida de data o informacioacuten de caraacutecter personal
De los Delitos Contra Nintildeos Nintildeas o Adolescentes
bullArtiacuteculo 23 Difusioacuten o exhibicioacuten de material pornograacutefico
bullArtiacuteculo 24 Exhibicioacuten pornograacutefica de nintildeos o adolescentes
De los Delitos Contra el Orden Econoacutemico
bullArtiacuteculo 25 Apropiacioacuten de propiedad intelectual
bullArtiacuteculo 26 Oferta engantildeosa
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 85
Plan de Contingencia Continuidad Operacional
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 86
Plan de Contingencia
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 87
ldquoConjunto de Normas y Procedimientos documentadosy comunicados que tienen por objetivo minimizar los riesgos informaacuteticos mas probablesrdquo
InvolucrabullUso de herramientas
bullCumplimiento de Tareas por
parte de personas
Plan de Contingencia
Consta de tres subplanes independientes
bull Plan de Respaldo crear y conservar en un lugar seguro copias de seguridad de la informacioacuten
bull Pla de Emergencia queacute medidas tomar cuando se estaacute materializando una amenaza o cuando acaba de producirse
bull Plan de Recuperacioacuten medidas que se aplicaran cuando se ha producido un desastre El objetivo es evaluar el impacto y regresar lo antes posible
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 88
Plan de Contingencia
En la elaboracioacuten de este plan no se puede dejar por fuera a los miembros de la organizacioacuten el cual debe estar informado y entrenado para actuar en las funciones que le hayan sido encomendadas en caso de producirse una amenaza o impacto
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 89
Continuidad Operacional
Business Continuity Planning (Plan de Continuidad de negocios)
bull Plan Baacutesico
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Coldsite)
bull Plan Intermedio
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan Alto
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan de respuesta y continuidad de negocios alternativo (sin asistencia de sistemas)
bull Stress Testing al Plan
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 90
El Stress Testing
bull Poner a prueba el planbull Revise y evalueacute
bull Respaldosbull Oportunidad integridad y funcionalidadbull Custodia y transporte
bull Cold y Hotsitebull Funcionalidad accesibilidad y compatibilidadbull Actualizacioacuten oportuna (hotsite)
bull Personalbull Roles y funcionesbull Accesibilidad (contactos y comunicaciones)
bull Simulacioacuten de cataacutestrofesbull Sin previo aviso el director encargado del BCP se presenta en el centro de computo
cronometro en mano y baja la cuchilla de electricidad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 91
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de Lehman Brothers
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el WorldTrade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehman se desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del World Trade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehman teniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 92
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de LehmanBrothers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 93
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el World Trade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehmanse desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 94
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del WorldTrade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehmanteniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 95
La Contingencia Manual la Uacuteltima Frontera
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 96
05062015 97
DATOS BAacuteSICOS
Responsable A Nivel Corporativo Responsable(s) A Nivel Regional
PROVEEDOR (ES)
Origen Responsable Insumo (s)
RESULTADOS
Normas y Procedimientos Asociados Fecha uacuteltima revisioacuten Sistemas Aplicaciones Asociadas
Proceso
CALIFICACIOacuteN DE CONTROLES DE ENTRADA
Actividad
RECOMENDACIONES
Procesamiento
Automaacutetico (A)Manual (M)
Frecuencia
Adiestramiento Proceso Sistema N y P Otros
Negocio Area Localidad
Responsable
Nombre CargoNombre Cargo
NOMBRE
ELABORADO POR
CARGO FIRMA
Calidad de Data (B) Buena (R) Regular (M) Mala Oportunidad (AT) A Tiempo (R) Retrasada Revisioacuten Aprobacioacuten (S) Si (N) NoLEYENDA
Calificacioacuten (F) Fuerte (M) Medio (B) Bajo
DescripcioacutenResponsableDescripcioacuten
Tarea
Descripcioacuten
FRECUENCIA DE LA TAREA Diaria (D) Semanal (S) Mensual (M) Trimestral (T) Anual (A) Ocasional (O)
Soportes Recepcioacuten (P) Papel (E) Electroacutenico Archivo (S) Si (N) No Soportes Enviacuteo (S) Si (N) No Backup (S) Si (N) No
Producto (s) Cliente ReceptorControl
de salida
SoportesFrecuencia
Recepcioacuten Backup
DOCUMENTOS SISTEMAS ASOCIADOS A LOS CONTROLES
CALIFICACIOacuteN DE CONTROLES (por parte del Cliente Receptor)
Revisioacuten
Aprobacioacuten
Revisioacuten
AprobacioacutenTipo de control
Procesamiento
Automaacutetico (A)Manual (M)
Control
De EntradaTipo de control
Soportes
Recepcioacuten Archivo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 98
DATOS BAacuteSICOS
TareaActividad
Proceso Responsable del Proceso
Fecha de Elaboracioacuten 2015
Accioacuten (es) Responsable (s)
OBSERVACIONES ELABORADO POR
FIRMA
NOMBRE
Plan de recuperacioacuten y Reactivacioacuten de Finanzas
Recomendaciones Acciones
La Cadena de Valor de una Organizacioacuten de Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 99
ASESORAR EN CONTROLES DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR DELEGACIONES FINANCIERAS
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
CONTROLAR SEGURIDAD SISTEMA
OPERACIONALES ADMINISTRATIVOS Y OTROS
SISTEMAS FINANCIEROS
DESARROLLAR CONTROLES
DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR Y DESARROLLAR PLAN INTEGRAL DE CONTROL ( PIC )
Asesorar en controles de procesos normas y
Procedimientos
Administrar delegaciones financieras
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
Controlar seguridad sistema
operacionales administrativos y otros
sistemas financieros
Desarrollar
controles de
procesos
normas y
procedimientos
Administrar y desarrollar plan integral de control ( PIC )
Plan de Contingencia Continuidad Operacional
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 86
Plan de Contingencia
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 87
ldquoConjunto de Normas y Procedimientos documentadosy comunicados que tienen por objetivo minimizar los riesgos informaacuteticos mas probablesrdquo
InvolucrabullUso de herramientas
bullCumplimiento de Tareas por
parte de personas
Plan de Contingencia
Consta de tres subplanes independientes
bull Plan de Respaldo crear y conservar en un lugar seguro copias de seguridad de la informacioacuten
bull Pla de Emergencia queacute medidas tomar cuando se estaacute materializando una amenaza o cuando acaba de producirse
bull Plan de Recuperacioacuten medidas que se aplicaran cuando se ha producido un desastre El objetivo es evaluar el impacto y regresar lo antes posible
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 88
Plan de Contingencia
En la elaboracioacuten de este plan no se puede dejar por fuera a los miembros de la organizacioacuten el cual debe estar informado y entrenado para actuar en las funciones que le hayan sido encomendadas en caso de producirse una amenaza o impacto
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 89
Continuidad Operacional
Business Continuity Planning (Plan de Continuidad de negocios)
bull Plan Baacutesico
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Coldsite)
bull Plan Intermedio
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan Alto
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan de respuesta y continuidad de negocios alternativo (sin asistencia de sistemas)
bull Stress Testing al Plan
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 90
El Stress Testing
bull Poner a prueba el planbull Revise y evalueacute
bull Respaldosbull Oportunidad integridad y funcionalidadbull Custodia y transporte
bull Cold y Hotsitebull Funcionalidad accesibilidad y compatibilidadbull Actualizacioacuten oportuna (hotsite)
bull Personalbull Roles y funcionesbull Accesibilidad (contactos y comunicaciones)
bull Simulacioacuten de cataacutestrofesbull Sin previo aviso el director encargado del BCP se presenta en el centro de computo
cronometro en mano y baja la cuchilla de electricidad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 91
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de Lehman Brothers
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el WorldTrade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehman se desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del World Trade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehman teniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 92
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de LehmanBrothers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 93
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el World Trade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehmanse desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 94
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del WorldTrade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehmanteniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 95
La Contingencia Manual la Uacuteltima Frontera
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 96
05062015 97
DATOS BAacuteSICOS
Responsable A Nivel Corporativo Responsable(s) A Nivel Regional
PROVEEDOR (ES)
Origen Responsable Insumo (s)
RESULTADOS
Normas y Procedimientos Asociados Fecha uacuteltima revisioacuten Sistemas Aplicaciones Asociadas
Proceso
CALIFICACIOacuteN DE CONTROLES DE ENTRADA
Actividad
RECOMENDACIONES
Procesamiento
Automaacutetico (A)Manual (M)
Frecuencia
Adiestramiento Proceso Sistema N y P Otros
Negocio Area Localidad
Responsable
Nombre CargoNombre Cargo
NOMBRE
ELABORADO POR
CARGO FIRMA
Calidad de Data (B) Buena (R) Regular (M) Mala Oportunidad (AT) A Tiempo (R) Retrasada Revisioacuten Aprobacioacuten (S) Si (N) NoLEYENDA
Calificacioacuten (F) Fuerte (M) Medio (B) Bajo
DescripcioacutenResponsableDescripcioacuten
Tarea
Descripcioacuten
FRECUENCIA DE LA TAREA Diaria (D) Semanal (S) Mensual (M) Trimestral (T) Anual (A) Ocasional (O)
Soportes Recepcioacuten (P) Papel (E) Electroacutenico Archivo (S) Si (N) No Soportes Enviacuteo (S) Si (N) No Backup (S) Si (N) No
Producto (s) Cliente ReceptorControl
de salida
SoportesFrecuencia
Recepcioacuten Backup
DOCUMENTOS SISTEMAS ASOCIADOS A LOS CONTROLES
CALIFICACIOacuteN DE CONTROLES (por parte del Cliente Receptor)
Revisioacuten
Aprobacioacuten
Revisioacuten
AprobacioacutenTipo de control
Procesamiento
Automaacutetico (A)Manual (M)
Control
De EntradaTipo de control
Soportes
Recepcioacuten Archivo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 98
DATOS BAacuteSICOS
TareaActividad
Proceso Responsable del Proceso
Fecha de Elaboracioacuten 2015
Accioacuten (es) Responsable (s)
OBSERVACIONES ELABORADO POR
FIRMA
NOMBRE
Plan de recuperacioacuten y Reactivacioacuten de Finanzas
Recomendaciones Acciones
La Cadena de Valor de una Organizacioacuten de Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 99
ASESORAR EN CONTROLES DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR DELEGACIONES FINANCIERAS
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
CONTROLAR SEGURIDAD SISTEMA
OPERACIONALES ADMINISTRATIVOS Y OTROS
SISTEMAS FINANCIEROS
DESARROLLAR CONTROLES
DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR Y DESARROLLAR PLAN INTEGRAL DE CONTROL ( PIC )
Asesorar en controles de procesos normas y
Procedimientos
Administrar delegaciones financieras
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
Controlar seguridad sistema
operacionales administrativos y otros
sistemas financieros
Desarrollar
controles de
procesos
normas y
procedimientos
Administrar y desarrollar plan integral de control ( PIC )
Plan de Contingencia
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 87
ldquoConjunto de Normas y Procedimientos documentadosy comunicados que tienen por objetivo minimizar los riesgos informaacuteticos mas probablesrdquo
InvolucrabullUso de herramientas
bullCumplimiento de Tareas por
parte de personas
Plan de Contingencia
Consta de tres subplanes independientes
bull Plan de Respaldo crear y conservar en un lugar seguro copias de seguridad de la informacioacuten
bull Pla de Emergencia queacute medidas tomar cuando se estaacute materializando una amenaza o cuando acaba de producirse
bull Plan de Recuperacioacuten medidas que se aplicaran cuando se ha producido un desastre El objetivo es evaluar el impacto y regresar lo antes posible
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 88
Plan de Contingencia
En la elaboracioacuten de este plan no se puede dejar por fuera a los miembros de la organizacioacuten el cual debe estar informado y entrenado para actuar en las funciones que le hayan sido encomendadas en caso de producirse una amenaza o impacto
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 89
Continuidad Operacional
Business Continuity Planning (Plan de Continuidad de negocios)
bull Plan Baacutesico
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Coldsite)
bull Plan Intermedio
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan Alto
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan de respuesta y continuidad de negocios alternativo (sin asistencia de sistemas)
bull Stress Testing al Plan
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 90
El Stress Testing
bull Poner a prueba el planbull Revise y evalueacute
bull Respaldosbull Oportunidad integridad y funcionalidadbull Custodia y transporte
bull Cold y Hotsitebull Funcionalidad accesibilidad y compatibilidadbull Actualizacioacuten oportuna (hotsite)
bull Personalbull Roles y funcionesbull Accesibilidad (contactos y comunicaciones)
bull Simulacioacuten de cataacutestrofesbull Sin previo aviso el director encargado del BCP se presenta en el centro de computo
cronometro en mano y baja la cuchilla de electricidad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 91
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de Lehman Brothers
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el WorldTrade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehman se desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del World Trade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehman teniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 92
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de LehmanBrothers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 93
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el World Trade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehmanse desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 94
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del WorldTrade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehmanteniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 95
La Contingencia Manual la Uacuteltima Frontera
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 96
05062015 97
DATOS BAacuteSICOS
Responsable A Nivel Corporativo Responsable(s) A Nivel Regional
PROVEEDOR (ES)
Origen Responsable Insumo (s)
RESULTADOS
Normas y Procedimientos Asociados Fecha uacuteltima revisioacuten Sistemas Aplicaciones Asociadas
Proceso
CALIFICACIOacuteN DE CONTROLES DE ENTRADA
Actividad
RECOMENDACIONES
Procesamiento
Automaacutetico (A)Manual (M)
Frecuencia
Adiestramiento Proceso Sistema N y P Otros
Negocio Area Localidad
Responsable
Nombre CargoNombre Cargo
NOMBRE
ELABORADO POR
CARGO FIRMA
Calidad de Data (B) Buena (R) Regular (M) Mala Oportunidad (AT) A Tiempo (R) Retrasada Revisioacuten Aprobacioacuten (S) Si (N) NoLEYENDA
Calificacioacuten (F) Fuerte (M) Medio (B) Bajo
DescripcioacutenResponsableDescripcioacuten
Tarea
Descripcioacuten
FRECUENCIA DE LA TAREA Diaria (D) Semanal (S) Mensual (M) Trimestral (T) Anual (A) Ocasional (O)
Soportes Recepcioacuten (P) Papel (E) Electroacutenico Archivo (S) Si (N) No Soportes Enviacuteo (S) Si (N) No Backup (S) Si (N) No
Producto (s) Cliente ReceptorControl
de salida
SoportesFrecuencia
Recepcioacuten Backup
DOCUMENTOS SISTEMAS ASOCIADOS A LOS CONTROLES
CALIFICACIOacuteN DE CONTROLES (por parte del Cliente Receptor)
Revisioacuten
Aprobacioacuten
Revisioacuten
AprobacioacutenTipo de control
Procesamiento
Automaacutetico (A)Manual (M)
Control
De EntradaTipo de control
Soportes
Recepcioacuten Archivo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 98
DATOS BAacuteSICOS
TareaActividad
Proceso Responsable del Proceso
Fecha de Elaboracioacuten 2015
Accioacuten (es) Responsable (s)
OBSERVACIONES ELABORADO POR
FIRMA
NOMBRE
Plan de recuperacioacuten y Reactivacioacuten de Finanzas
Recomendaciones Acciones
La Cadena de Valor de una Organizacioacuten de Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 99
ASESORAR EN CONTROLES DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR DELEGACIONES FINANCIERAS
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
CONTROLAR SEGURIDAD SISTEMA
OPERACIONALES ADMINISTRATIVOS Y OTROS
SISTEMAS FINANCIEROS
DESARROLLAR CONTROLES
DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR Y DESARROLLAR PLAN INTEGRAL DE CONTROL ( PIC )
Asesorar en controles de procesos normas y
Procedimientos
Administrar delegaciones financieras
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
Controlar seguridad sistema
operacionales administrativos y otros
sistemas financieros
Desarrollar
controles de
procesos
normas y
procedimientos
Administrar y desarrollar plan integral de control ( PIC )
Plan de Contingencia
Consta de tres subplanes independientes
bull Plan de Respaldo crear y conservar en un lugar seguro copias de seguridad de la informacioacuten
bull Pla de Emergencia queacute medidas tomar cuando se estaacute materializando una amenaza o cuando acaba de producirse
bull Plan de Recuperacioacuten medidas que se aplicaran cuando se ha producido un desastre El objetivo es evaluar el impacto y regresar lo antes posible
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 88
Plan de Contingencia
En la elaboracioacuten de este plan no se puede dejar por fuera a los miembros de la organizacioacuten el cual debe estar informado y entrenado para actuar en las funciones que le hayan sido encomendadas en caso de producirse una amenaza o impacto
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 89
Continuidad Operacional
Business Continuity Planning (Plan de Continuidad de negocios)
bull Plan Baacutesico
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Coldsite)
bull Plan Intermedio
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan Alto
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan de respuesta y continuidad de negocios alternativo (sin asistencia de sistemas)
bull Stress Testing al Plan
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 90
El Stress Testing
bull Poner a prueba el planbull Revise y evalueacute
bull Respaldosbull Oportunidad integridad y funcionalidadbull Custodia y transporte
bull Cold y Hotsitebull Funcionalidad accesibilidad y compatibilidadbull Actualizacioacuten oportuna (hotsite)
bull Personalbull Roles y funcionesbull Accesibilidad (contactos y comunicaciones)
bull Simulacioacuten de cataacutestrofesbull Sin previo aviso el director encargado del BCP se presenta en el centro de computo
cronometro en mano y baja la cuchilla de electricidad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 91
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de Lehman Brothers
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el WorldTrade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehman se desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del World Trade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehman teniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 92
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de LehmanBrothers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 93
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el World Trade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehmanse desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 94
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del WorldTrade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehmanteniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 95
La Contingencia Manual la Uacuteltima Frontera
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 96
05062015 97
DATOS BAacuteSICOS
Responsable A Nivel Corporativo Responsable(s) A Nivel Regional
PROVEEDOR (ES)
Origen Responsable Insumo (s)
RESULTADOS
Normas y Procedimientos Asociados Fecha uacuteltima revisioacuten Sistemas Aplicaciones Asociadas
Proceso
CALIFICACIOacuteN DE CONTROLES DE ENTRADA
Actividad
RECOMENDACIONES
Procesamiento
Automaacutetico (A)Manual (M)
Frecuencia
Adiestramiento Proceso Sistema N y P Otros
Negocio Area Localidad
Responsable
Nombre CargoNombre Cargo
NOMBRE
ELABORADO POR
CARGO FIRMA
Calidad de Data (B) Buena (R) Regular (M) Mala Oportunidad (AT) A Tiempo (R) Retrasada Revisioacuten Aprobacioacuten (S) Si (N) NoLEYENDA
Calificacioacuten (F) Fuerte (M) Medio (B) Bajo
DescripcioacutenResponsableDescripcioacuten
Tarea
Descripcioacuten
FRECUENCIA DE LA TAREA Diaria (D) Semanal (S) Mensual (M) Trimestral (T) Anual (A) Ocasional (O)
Soportes Recepcioacuten (P) Papel (E) Electroacutenico Archivo (S) Si (N) No Soportes Enviacuteo (S) Si (N) No Backup (S) Si (N) No
Producto (s) Cliente ReceptorControl
de salida
SoportesFrecuencia
Recepcioacuten Backup
DOCUMENTOS SISTEMAS ASOCIADOS A LOS CONTROLES
CALIFICACIOacuteN DE CONTROLES (por parte del Cliente Receptor)
Revisioacuten
Aprobacioacuten
Revisioacuten
AprobacioacutenTipo de control
Procesamiento
Automaacutetico (A)Manual (M)
Control
De EntradaTipo de control
Soportes
Recepcioacuten Archivo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 98
DATOS BAacuteSICOS
TareaActividad
Proceso Responsable del Proceso
Fecha de Elaboracioacuten 2015
Accioacuten (es) Responsable (s)
OBSERVACIONES ELABORADO POR
FIRMA
NOMBRE
Plan de recuperacioacuten y Reactivacioacuten de Finanzas
Recomendaciones Acciones
La Cadena de Valor de una Organizacioacuten de Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 99
ASESORAR EN CONTROLES DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR DELEGACIONES FINANCIERAS
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
CONTROLAR SEGURIDAD SISTEMA
OPERACIONALES ADMINISTRATIVOS Y OTROS
SISTEMAS FINANCIEROS
DESARROLLAR CONTROLES
DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR Y DESARROLLAR PLAN INTEGRAL DE CONTROL ( PIC )
Asesorar en controles de procesos normas y
Procedimientos
Administrar delegaciones financieras
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
Controlar seguridad sistema
operacionales administrativos y otros
sistemas financieros
Desarrollar
controles de
procesos
normas y
procedimientos
Administrar y desarrollar plan integral de control ( PIC )
Plan de Contingencia
En la elaboracioacuten de este plan no se puede dejar por fuera a los miembros de la organizacioacuten el cual debe estar informado y entrenado para actuar en las funciones que le hayan sido encomendadas en caso de producirse una amenaza o impacto
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 89
Continuidad Operacional
Business Continuity Planning (Plan de Continuidad de negocios)
bull Plan Baacutesico
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Coldsite)
bull Plan Intermedio
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan Alto
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan de respuesta y continuidad de negocios alternativo (sin asistencia de sistemas)
bull Stress Testing al Plan
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 90
El Stress Testing
bull Poner a prueba el planbull Revise y evalueacute
bull Respaldosbull Oportunidad integridad y funcionalidadbull Custodia y transporte
bull Cold y Hotsitebull Funcionalidad accesibilidad y compatibilidadbull Actualizacioacuten oportuna (hotsite)
bull Personalbull Roles y funcionesbull Accesibilidad (contactos y comunicaciones)
bull Simulacioacuten de cataacutestrofesbull Sin previo aviso el director encargado del BCP se presenta en el centro de computo
cronometro en mano y baja la cuchilla de electricidad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 91
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de Lehman Brothers
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el WorldTrade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehman se desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del World Trade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehman teniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 92
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de LehmanBrothers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 93
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el World Trade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehmanse desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 94
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del WorldTrade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehmanteniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 95
La Contingencia Manual la Uacuteltima Frontera
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 96
05062015 97
DATOS BAacuteSICOS
Responsable A Nivel Corporativo Responsable(s) A Nivel Regional
PROVEEDOR (ES)
Origen Responsable Insumo (s)
RESULTADOS
Normas y Procedimientos Asociados Fecha uacuteltima revisioacuten Sistemas Aplicaciones Asociadas
Proceso
CALIFICACIOacuteN DE CONTROLES DE ENTRADA
Actividad
RECOMENDACIONES
Procesamiento
Automaacutetico (A)Manual (M)
Frecuencia
Adiestramiento Proceso Sistema N y P Otros
Negocio Area Localidad
Responsable
Nombre CargoNombre Cargo
NOMBRE
ELABORADO POR
CARGO FIRMA
Calidad de Data (B) Buena (R) Regular (M) Mala Oportunidad (AT) A Tiempo (R) Retrasada Revisioacuten Aprobacioacuten (S) Si (N) NoLEYENDA
Calificacioacuten (F) Fuerte (M) Medio (B) Bajo
DescripcioacutenResponsableDescripcioacuten
Tarea
Descripcioacuten
FRECUENCIA DE LA TAREA Diaria (D) Semanal (S) Mensual (M) Trimestral (T) Anual (A) Ocasional (O)
Soportes Recepcioacuten (P) Papel (E) Electroacutenico Archivo (S) Si (N) No Soportes Enviacuteo (S) Si (N) No Backup (S) Si (N) No
Producto (s) Cliente ReceptorControl
de salida
SoportesFrecuencia
Recepcioacuten Backup
DOCUMENTOS SISTEMAS ASOCIADOS A LOS CONTROLES
CALIFICACIOacuteN DE CONTROLES (por parte del Cliente Receptor)
Revisioacuten
Aprobacioacuten
Revisioacuten
AprobacioacutenTipo de control
Procesamiento
Automaacutetico (A)Manual (M)
Control
De EntradaTipo de control
Soportes
Recepcioacuten Archivo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 98
DATOS BAacuteSICOS
TareaActividad
Proceso Responsable del Proceso
Fecha de Elaboracioacuten 2015
Accioacuten (es) Responsable (s)
OBSERVACIONES ELABORADO POR
FIRMA
NOMBRE
Plan de recuperacioacuten y Reactivacioacuten de Finanzas
Recomendaciones Acciones
La Cadena de Valor de una Organizacioacuten de Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 99
ASESORAR EN CONTROLES DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR DELEGACIONES FINANCIERAS
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
CONTROLAR SEGURIDAD SISTEMA
OPERACIONALES ADMINISTRATIVOS Y OTROS
SISTEMAS FINANCIEROS
DESARROLLAR CONTROLES
DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR Y DESARROLLAR PLAN INTEGRAL DE CONTROL ( PIC )
Asesorar en controles de procesos normas y
Procedimientos
Administrar delegaciones financieras
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
Controlar seguridad sistema
operacionales administrativos y otros
sistemas financieros
Desarrollar
controles de
procesos
normas y
procedimientos
Administrar y desarrollar plan integral de control ( PIC )
Continuidad Operacional
Business Continuity Planning (Plan de Continuidad de negocios)
bull Plan Baacutesico
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Coldsite)
bull Plan Intermedio
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan Alto
bull Respaldos insitu y outside
bull Centro de coacutemputos alterno (Hotsite) fuera del aacuterea geograacutefica
bull Plan de respuesta y continuidad de negocios alternativo (sin asistencia de sistemas)
bull Stress Testing al Plan
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 90
El Stress Testing
bull Poner a prueba el planbull Revise y evalueacute
bull Respaldosbull Oportunidad integridad y funcionalidadbull Custodia y transporte
bull Cold y Hotsitebull Funcionalidad accesibilidad y compatibilidadbull Actualizacioacuten oportuna (hotsite)
bull Personalbull Roles y funcionesbull Accesibilidad (contactos y comunicaciones)
bull Simulacioacuten de cataacutestrofesbull Sin previo aviso el director encargado del BCP se presenta en el centro de computo
cronometro en mano y baja la cuchilla de electricidad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 91
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de Lehman Brothers
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el WorldTrade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehman se desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del World Trade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehman teniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 92
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de LehmanBrothers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 93
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el World Trade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehmanse desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 94
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del WorldTrade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehmanteniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 95
La Contingencia Manual la Uacuteltima Frontera
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 96
05062015 97
DATOS BAacuteSICOS
Responsable A Nivel Corporativo Responsable(s) A Nivel Regional
PROVEEDOR (ES)
Origen Responsable Insumo (s)
RESULTADOS
Normas y Procedimientos Asociados Fecha uacuteltima revisioacuten Sistemas Aplicaciones Asociadas
Proceso
CALIFICACIOacuteN DE CONTROLES DE ENTRADA
Actividad
RECOMENDACIONES
Procesamiento
Automaacutetico (A)Manual (M)
Frecuencia
Adiestramiento Proceso Sistema N y P Otros
Negocio Area Localidad
Responsable
Nombre CargoNombre Cargo
NOMBRE
ELABORADO POR
CARGO FIRMA
Calidad de Data (B) Buena (R) Regular (M) Mala Oportunidad (AT) A Tiempo (R) Retrasada Revisioacuten Aprobacioacuten (S) Si (N) NoLEYENDA
Calificacioacuten (F) Fuerte (M) Medio (B) Bajo
DescripcioacutenResponsableDescripcioacuten
Tarea
Descripcioacuten
FRECUENCIA DE LA TAREA Diaria (D) Semanal (S) Mensual (M) Trimestral (T) Anual (A) Ocasional (O)
Soportes Recepcioacuten (P) Papel (E) Electroacutenico Archivo (S) Si (N) No Soportes Enviacuteo (S) Si (N) No Backup (S) Si (N) No
Producto (s) Cliente ReceptorControl
de salida
SoportesFrecuencia
Recepcioacuten Backup
DOCUMENTOS SISTEMAS ASOCIADOS A LOS CONTROLES
CALIFICACIOacuteN DE CONTROLES (por parte del Cliente Receptor)
Revisioacuten
Aprobacioacuten
Revisioacuten
AprobacioacutenTipo de control
Procesamiento
Automaacutetico (A)Manual (M)
Control
De EntradaTipo de control
Soportes
Recepcioacuten Archivo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 98
DATOS BAacuteSICOS
TareaActividad
Proceso Responsable del Proceso
Fecha de Elaboracioacuten 2015
Accioacuten (es) Responsable (s)
OBSERVACIONES ELABORADO POR
FIRMA
NOMBRE
Plan de recuperacioacuten y Reactivacioacuten de Finanzas
Recomendaciones Acciones
La Cadena de Valor de una Organizacioacuten de Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 99
ASESORAR EN CONTROLES DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR DELEGACIONES FINANCIERAS
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
CONTROLAR SEGURIDAD SISTEMA
OPERACIONALES ADMINISTRATIVOS Y OTROS
SISTEMAS FINANCIEROS
DESARROLLAR CONTROLES
DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR Y DESARROLLAR PLAN INTEGRAL DE CONTROL ( PIC )
Asesorar en controles de procesos normas y
Procedimientos
Administrar delegaciones financieras
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
Controlar seguridad sistema
operacionales administrativos y otros
sistemas financieros
Desarrollar
controles de
procesos
normas y
procedimientos
Administrar y desarrollar plan integral de control ( PIC )
El Stress Testing
bull Poner a prueba el planbull Revise y evalueacute
bull Respaldosbull Oportunidad integridad y funcionalidadbull Custodia y transporte
bull Cold y Hotsitebull Funcionalidad accesibilidad y compatibilidadbull Actualizacioacuten oportuna (hotsite)
bull Personalbull Roles y funcionesbull Accesibilidad (contactos y comunicaciones)
bull Simulacioacuten de cataacutestrofesbull Sin previo aviso el director encargado del BCP se presenta en el centro de computo
cronometro en mano y baja la cuchilla de electricidad
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 91
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de Lehman Brothers
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el WorldTrade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehman se desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del World Trade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehman teniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 92
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de LehmanBrothers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 93
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el World Trade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehmanse desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 94
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del WorldTrade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehmanteniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 95
La Contingencia Manual la Uacuteltima Frontera
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 96
05062015 97
DATOS BAacuteSICOS
Responsable A Nivel Corporativo Responsable(s) A Nivel Regional
PROVEEDOR (ES)
Origen Responsable Insumo (s)
RESULTADOS
Normas y Procedimientos Asociados Fecha uacuteltima revisioacuten Sistemas Aplicaciones Asociadas
Proceso
CALIFICACIOacuteN DE CONTROLES DE ENTRADA
Actividad
RECOMENDACIONES
Procesamiento
Automaacutetico (A)Manual (M)
Frecuencia
Adiestramiento Proceso Sistema N y P Otros
Negocio Area Localidad
Responsable
Nombre CargoNombre Cargo
NOMBRE
ELABORADO POR
CARGO FIRMA
Calidad de Data (B) Buena (R) Regular (M) Mala Oportunidad (AT) A Tiempo (R) Retrasada Revisioacuten Aprobacioacuten (S) Si (N) NoLEYENDA
Calificacioacuten (F) Fuerte (M) Medio (B) Bajo
DescripcioacutenResponsableDescripcioacuten
Tarea
Descripcioacuten
FRECUENCIA DE LA TAREA Diaria (D) Semanal (S) Mensual (M) Trimestral (T) Anual (A) Ocasional (O)
Soportes Recepcioacuten (P) Papel (E) Electroacutenico Archivo (S) Si (N) No Soportes Enviacuteo (S) Si (N) No Backup (S) Si (N) No
Producto (s) Cliente ReceptorControl
de salida
SoportesFrecuencia
Recepcioacuten Backup
DOCUMENTOS SISTEMAS ASOCIADOS A LOS CONTROLES
CALIFICACIOacuteN DE CONTROLES (por parte del Cliente Receptor)
Revisioacuten
Aprobacioacuten
Revisioacuten
AprobacioacutenTipo de control
Procesamiento
Automaacutetico (A)Manual (M)
Control
De EntradaTipo de control
Soportes
Recepcioacuten Archivo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 98
DATOS BAacuteSICOS
TareaActividad
Proceso Responsable del Proceso
Fecha de Elaboracioacuten 2015
Accioacuten (es) Responsable (s)
OBSERVACIONES ELABORADO POR
FIRMA
NOMBRE
Plan de recuperacioacuten y Reactivacioacuten de Finanzas
Recomendaciones Acciones
La Cadena de Valor de una Organizacioacuten de Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 99
ASESORAR EN CONTROLES DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR DELEGACIONES FINANCIERAS
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
CONTROLAR SEGURIDAD SISTEMA
OPERACIONALES ADMINISTRATIVOS Y OTROS
SISTEMAS FINANCIEROS
DESARROLLAR CONTROLES
DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR Y DESARROLLAR PLAN INTEGRAL DE CONTROL ( PIC )
Asesorar en controles de procesos normas y
Procedimientos
Administrar delegaciones financieras
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
Controlar seguridad sistema
operacionales administrativos y otros
sistemas financieros
Desarrollar
controles de
procesos
normas y
procedimientos
Administrar y desarrollar plan integral de control ( PIC )
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de Lehman Brothers
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el WorldTrade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehman se desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del World Trade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehman teniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 92
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de LehmanBrothers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 93
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el World Trade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehmanse desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 94
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del WorldTrade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehmanteniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 95
La Contingencia Manual la Uacuteltima Frontera
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 96
05062015 97
DATOS BAacuteSICOS
Responsable A Nivel Corporativo Responsable(s) A Nivel Regional
PROVEEDOR (ES)
Origen Responsable Insumo (s)
RESULTADOS
Normas y Procedimientos Asociados Fecha uacuteltima revisioacuten Sistemas Aplicaciones Asociadas
Proceso
CALIFICACIOacuteN DE CONTROLES DE ENTRADA
Actividad
RECOMENDACIONES
Procesamiento
Automaacutetico (A)Manual (M)
Frecuencia
Adiestramiento Proceso Sistema N y P Otros
Negocio Area Localidad
Responsable
Nombre CargoNombre Cargo
NOMBRE
ELABORADO POR
CARGO FIRMA
Calidad de Data (B) Buena (R) Regular (M) Mala Oportunidad (AT) A Tiempo (R) Retrasada Revisioacuten Aprobacioacuten (S) Si (N) NoLEYENDA
Calificacioacuten (F) Fuerte (M) Medio (B) Bajo
DescripcioacutenResponsableDescripcioacuten
Tarea
Descripcioacuten
FRECUENCIA DE LA TAREA Diaria (D) Semanal (S) Mensual (M) Trimestral (T) Anual (A) Ocasional (O)
Soportes Recepcioacuten (P) Papel (E) Electroacutenico Archivo (S) Si (N) No Soportes Enviacuteo (S) Si (N) No Backup (S) Si (N) No
Producto (s) Cliente ReceptorControl
de salida
SoportesFrecuencia
Recepcioacuten Backup
DOCUMENTOS SISTEMAS ASOCIADOS A LOS CONTROLES
CALIFICACIOacuteN DE CONTROLES (por parte del Cliente Receptor)
Revisioacuten
Aprobacioacuten
Revisioacuten
AprobacioacutenTipo de control
Procesamiento
Automaacutetico (A)Manual (M)
Control
De EntradaTipo de control
Soportes
Recepcioacuten Archivo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 98
DATOS BAacuteSICOS
TareaActividad
Proceso Responsable del Proceso
Fecha de Elaboracioacuten 2015
Accioacuten (es) Responsable (s)
OBSERVACIONES ELABORADO POR
FIRMA
NOMBRE
Plan de recuperacioacuten y Reactivacioacuten de Finanzas
Recomendaciones Acciones
La Cadena de Valor de una Organizacioacuten de Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 99
ASESORAR EN CONTROLES DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR DELEGACIONES FINANCIERAS
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
CONTROLAR SEGURIDAD SISTEMA
OPERACIONALES ADMINISTRATIVOS Y OTROS
SISTEMAS FINANCIEROS
DESARROLLAR CONTROLES
DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR Y DESARROLLAR PLAN INTEGRAL DE CONTROL ( PIC )
Asesorar en controles de procesos normas y
Procedimientos
Administrar delegaciones financieras
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
Controlar seguridad sistema
operacionales administrativos y otros
sistemas financieros
Desarrollar
controles de
procesos
normas y
procedimientos
Administrar y desarrollar plan integral de control ( PIC )
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Los ataques terroristas del 11 de septiembre de 2001 en Estados Unidos tuvieron un fuerte impacto en ciertos sectores de las tecnologiacuteas de la informacioacuten y la comunicacioacuten (TIC) Esto es asiacute dado que tras los atentados subieron las ventas de computadoras y aumentoacute la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en forma remota
bull La historia que mejor refleja la mayoriacutea de estos cambios es la de un gigante de las finanzas Lehman Brothers que siguioacute adelante a pesar de que en el 11-S fueron arrasadas sus oficinas centrales pero al que luego le llegoacute finalmente su hora cuando casi 7 antildeos despueacutes (el 15 de septiembre de 2008) pidioacute la quiebra Aquel traacutegico diacutea a las 845 (hora de Nueva York) el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC) Los escombros comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz el director de tecnologiacuteas de la informacioacuten (CTO sigla en ingleacutes) de LehmanBrothers
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 93
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el World Trade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehmanse desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 94
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del WorldTrade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehmanteniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 95
La Contingencia Manual la Uacuteltima Frontera
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 96
05062015 97
DATOS BAacuteSICOS
Responsable A Nivel Corporativo Responsable(s) A Nivel Regional
PROVEEDOR (ES)
Origen Responsable Insumo (s)
RESULTADOS
Normas y Procedimientos Asociados Fecha uacuteltima revisioacuten Sistemas Aplicaciones Asociadas
Proceso
CALIFICACIOacuteN DE CONTROLES DE ENTRADA
Actividad
RECOMENDACIONES
Procesamiento
Automaacutetico (A)Manual (M)
Frecuencia
Adiestramiento Proceso Sistema N y P Otros
Negocio Area Localidad
Responsable
Nombre CargoNombre Cargo
NOMBRE
ELABORADO POR
CARGO FIRMA
Calidad de Data (B) Buena (R) Regular (M) Mala Oportunidad (AT) A Tiempo (R) Retrasada Revisioacuten Aprobacioacuten (S) Si (N) NoLEYENDA
Calificacioacuten (F) Fuerte (M) Medio (B) Bajo
DescripcioacutenResponsableDescripcioacuten
Tarea
Descripcioacuten
FRECUENCIA DE LA TAREA Diaria (D) Semanal (S) Mensual (M) Trimestral (T) Anual (A) Ocasional (O)
Soportes Recepcioacuten (P) Papel (E) Electroacutenico Archivo (S) Si (N) No Soportes Enviacuteo (S) Si (N) No Backup (S) Si (N) No
Producto (s) Cliente ReceptorControl
de salida
SoportesFrecuencia
Recepcioacuten Backup
DOCUMENTOS SISTEMAS ASOCIADOS A LOS CONTROLES
CALIFICACIOacuteN DE CONTROLES (por parte del Cliente Receptor)
Revisioacuten
Aprobacioacuten
Revisioacuten
AprobacioacutenTipo de control
Procesamiento
Automaacutetico (A)Manual (M)
Control
De EntradaTipo de control
Soportes
Recepcioacuten Archivo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 98
DATOS BAacuteSICOS
TareaActividad
Proceso Responsable del Proceso
Fecha de Elaboracioacuten 2015
Accioacuten (es) Responsable (s)
OBSERVACIONES ELABORADO POR
FIRMA
NOMBRE
Plan de recuperacioacuten y Reactivacioacuten de Finanzas
Recomendaciones Acciones
La Cadena de Valor de una Organizacioacuten de Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 99
ASESORAR EN CONTROLES DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR DELEGACIONES FINANCIERAS
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
CONTROLAR SEGURIDAD SISTEMA
OPERACIONALES ADMINISTRATIVOS Y OTROS
SISTEMAS FINANCIEROS
DESARROLLAR CONTROLES
DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR Y DESARROLLAR PLAN INTEGRAL DE CONTROL ( PIC )
Asesorar en controles de procesos normas y
Procedimientos
Administrar delegaciones financieras
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
Controlar seguridad sistema
operacionales administrativos y otros
sistemas financieros
Desarrollar
controles de
procesos
normas y
procedimientos
Administrar y desarrollar plan integral de control ( PIC )
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull El ejecutivo no dudoacute sobre la gravedad de la situacioacuten y movilizoacute a todo el personal de los departamentos de Economiacutea y tambieacuten al suyo que ocupaban las plantas 38 39 y 40 de la torre Los empleados y directivos huyeron por las escaleras mientras que los servidores de la compantildeiacutea quedaron solos
bull Pero mientras huiacutea Schwartz tomoacute la decisioacuten de activar el plan de recuperacioacuten y continuidad del negocio Para ello se valioacute de su teleacutefono moacutevil BlackBerry ldquoComo el BlackBerry nos permite enviar y recibir correo electroacutenico alerteacute al director informaacutetico (CIO) de la compantildeiacutea que ese diacutea se encontraba en nuestro centro de Londres y a nuestros colegas de Nueva Jersey que raacutepidamente tomaron las riendas Desde las mismas escaleras de la Torre Uno activamos el plan de recuperacioacuten abriendo un centro de comandos y poniendo en marcha puentes de voz para mantener conferenciasrdquo recordoacute meses despueacutes de los ataques Schwartz a la revista Network World
bull Una media hora despueacutes de que el ejecutivo de Lehman Brothers alcanzara la calle la torre se vino abajo Apenas uno de los 625 empleados del banco que estaban en el World Trade Center perdioacute la vida en el atentado Pese a la cataacutestrofe ese mismo diacutea el departamento de Economiacutea de Lehmanse desplazoacute al centro de respaldo y siguioacute con sus tareas de gestioacuten de fondos El 12 de septiembre la compantildeiacutea ya teniacutea 400 empleados en liacutenea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus puertas el lunes siguiente
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 94
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del WorldTrade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehmanteniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 95
La Contingencia Manual la Uacuteltima Frontera
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 96
05062015 97
DATOS BAacuteSICOS
Responsable A Nivel Corporativo Responsable(s) A Nivel Regional
PROVEEDOR (ES)
Origen Responsable Insumo (s)
RESULTADOS
Normas y Procedimientos Asociados Fecha uacuteltima revisioacuten Sistemas Aplicaciones Asociadas
Proceso
CALIFICACIOacuteN DE CONTROLES DE ENTRADA
Actividad
RECOMENDACIONES
Procesamiento
Automaacutetico (A)Manual (M)
Frecuencia
Adiestramiento Proceso Sistema N y P Otros
Negocio Area Localidad
Responsable
Nombre CargoNombre Cargo
NOMBRE
ELABORADO POR
CARGO FIRMA
Calidad de Data (B) Buena (R) Regular (M) Mala Oportunidad (AT) A Tiempo (R) Retrasada Revisioacuten Aprobacioacuten (S) Si (N) NoLEYENDA
Calificacioacuten (F) Fuerte (M) Medio (B) Bajo
DescripcioacutenResponsableDescripcioacuten
Tarea
Descripcioacuten
FRECUENCIA DE LA TAREA Diaria (D) Semanal (S) Mensual (M) Trimestral (T) Anual (A) Ocasional (O)
Soportes Recepcioacuten (P) Papel (E) Electroacutenico Archivo (S) Si (N) No Soportes Enviacuteo (S) Si (N) No Backup (S) Si (N) No
Producto (s) Cliente ReceptorControl
de salida
SoportesFrecuencia
Recepcioacuten Backup
DOCUMENTOS SISTEMAS ASOCIADOS A LOS CONTROLES
CALIFICACIOacuteN DE CONTROLES (por parte del Cliente Receptor)
Revisioacuten
Aprobacioacuten
Revisioacuten
AprobacioacutenTipo de control
Procesamiento
Automaacutetico (A)Manual (M)
Control
De EntradaTipo de control
Soportes
Recepcioacuten Archivo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 98
DATOS BAacuteSICOS
TareaActividad
Proceso Responsable del Proceso
Fecha de Elaboracioacuten 2015
Accioacuten (es) Responsable (s)
OBSERVACIONES ELABORADO POR
FIRMA
NOMBRE
Plan de recuperacioacuten y Reactivacioacuten de Finanzas
Recomendaciones Acciones
La Cadena de Valor de una Organizacioacuten de Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 99
ASESORAR EN CONTROLES DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR DELEGACIONES FINANCIERAS
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
CONTROLAR SEGURIDAD SISTEMA
OPERACIONALES ADMINISTRATIVOS Y OTROS
SISTEMAS FINANCIEROS
DESARROLLAR CONTROLES
DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR Y DESARROLLAR PLAN INTEGRAL DE CONTROL ( PIC )
Asesorar en controles de procesos normas y
Procedimientos
Administrar delegaciones financieras
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
Controlar seguridad sistema
operacionales administrativos y otros
sistemas financieros
Desarrollar
controles de
procesos
normas y
procedimientos
Administrar y desarrollar plan integral de control ( PIC )
Plan de Recuperacioacuten de Desastres una experiencia exitosa (11-sep NYC)
bull Schwartz destacoacute que ldquola red fue la verdadera heroiacutena Su disentildeo y planificacioacuten nos salvoacute A excepcioacuten de alguna pequentildea cosa ninguna informacioacuten criacutetica se perdioacute y pudimos seguir dando servicios a nuestros clientesrdquo
bull La sede mundial del banco estaba en el distrito neoyorkino de Manhattan distribuida en distintas oficinas situadas en cuatro edificios del aacuterea del WorldTrade Center los equipos de desarrolladores de aplicaciones ingenieros y personal de gestioacuten de tecnologiacutea estaba albergado en la Torre Uno Y Lehmanteniacutea personal en tres edificios del muy proacuteximo World Financial Center
bull Para tomar dimensioacuten de lo que le pasoacute a este banco vale destacar que oficinas computadoras servidores redes e infraestructuras del departamento tecnoloacutegico desaparecieron bajo los escombros y los otros tres edificios tambieacuten quedaron inutilizados
bull La compantildeiacutea perdioacute 5000 computadoras de escritorio un centro de datos entero y todo su equipamiento de redes
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 95
La Contingencia Manual la Uacuteltima Frontera
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 96
05062015 97
DATOS BAacuteSICOS
Responsable A Nivel Corporativo Responsable(s) A Nivel Regional
PROVEEDOR (ES)
Origen Responsable Insumo (s)
RESULTADOS
Normas y Procedimientos Asociados Fecha uacuteltima revisioacuten Sistemas Aplicaciones Asociadas
Proceso
CALIFICACIOacuteN DE CONTROLES DE ENTRADA
Actividad
RECOMENDACIONES
Procesamiento
Automaacutetico (A)Manual (M)
Frecuencia
Adiestramiento Proceso Sistema N y P Otros
Negocio Area Localidad
Responsable
Nombre CargoNombre Cargo
NOMBRE
ELABORADO POR
CARGO FIRMA
Calidad de Data (B) Buena (R) Regular (M) Mala Oportunidad (AT) A Tiempo (R) Retrasada Revisioacuten Aprobacioacuten (S) Si (N) NoLEYENDA
Calificacioacuten (F) Fuerte (M) Medio (B) Bajo
DescripcioacutenResponsableDescripcioacuten
Tarea
Descripcioacuten
FRECUENCIA DE LA TAREA Diaria (D) Semanal (S) Mensual (M) Trimestral (T) Anual (A) Ocasional (O)
Soportes Recepcioacuten (P) Papel (E) Electroacutenico Archivo (S) Si (N) No Soportes Enviacuteo (S) Si (N) No Backup (S) Si (N) No
Producto (s) Cliente ReceptorControl
de salida
SoportesFrecuencia
Recepcioacuten Backup
DOCUMENTOS SISTEMAS ASOCIADOS A LOS CONTROLES
CALIFICACIOacuteN DE CONTROLES (por parte del Cliente Receptor)
Revisioacuten
Aprobacioacuten
Revisioacuten
AprobacioacutenTipo de control
Procesamiento
Automaacutetico (A)Manual (M)
Control
De EntradaTipo de control
Soportes
Recepcioacuten Archivo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 98
DATOS BAacuteSICOS
TareaActividad
Proceso Responsable del Proceso
Fecha de Elaboracioacuten 2015
Accioacuten (es) Responsable (s)
OBSERVACIONES ELABORADO POR
FIRMA
NOMBRE
Plan de recuperacioacuten y Reactivacioacuten de Finanzas
Recomendaciones Acciones
La Cadena de Valor de una Organizacioacuten de Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 99
ASESORAR EN CONTROLES DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR DELEGACIONES FINANCIERAS
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
CONTROLAR SEGURIDAD SISTEMA
OPERACIONALES ADMINISTRATIVOS Y OTROS
SISTEMAS FINANCIEROS
DESARROLLAR CONTROLES
DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR Y DESARROLLAR PLAN INTEGRAL DE CONTROL ( PIC )
Asesorar en controles de procesos normas y
Procedimientos
Administrar delegaciones financieras
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
Controlar seguridad sistema
operacionales administrativos y otros
sistemas financieros
Desarrollar
controles de
procesos
normas y
procedimientos
Administrar y desarrollar plan integral de control ( PIC )
La Contingencia Manual la Uacuteltima Frontera
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 96
05062015 97
DATOS BAacuteSICOS
Responsable A Nivel Corporativo Responsable(s) A Nivel Regional
PROVEEDOR (ES)
Origen Responsable Insumo (s)
RESULTADOS
Normas y Procedimientos Asociados Fecha uacuteltima revisioacuten Sistemas Aplicaciones Asociadas
Proceso
CALIFICACIOacuteN DE CONTROLES DE ENTRADA
Actividad
RECOMENDACIONES
Procesamiento
Automaacutetico (A)Manual (M)
Frecuencia
Adiestramiento Proceso Sistema N y P Otros
Negocio Area Localidad
Responsable
Nombre CargoNombre Cargo
NOMBRE
ELABORADO POR
CARGO FIRMA
Calidad de Data (B) Buena (R) Regular (M) Mala Oportunidad (AT) A Tiempo (R) Retrasada Revisioacuten Aprobacioacuten (S) Si (N) NoLEYENDA
Calificacioacuten (F) Fuerte (M) Medio (B) Bajo
DescripcioacutenResponsableDescripcioacuten
Tarea
Descripcioacuten
FRECUENCIA DE LA TAREA Diaria (D) Semanal (S) Mensual (M) Trimestral (T) Anual (A) Ocasional (O)
Soportes Recepcioacuten (P) Papel (E) Electroacutenico Archivo (S) Si (N) No Soportes Enviacuteo (S) Si (N) No Backup (S) Si (N) No
Producto (s) Cliente ReceptorControl
de salida
SoportesFrecuencia
Recepcioacuten Backup
DOCUMENTOS SISTEMAS ASOCIADOS A LOS CONTROLES
CALIFICACIOacuteN DE CONTROLES (por parte del Cliente Receptor)
Revisioacuten
Aprobacioacuten
Revisioacuten
AprobacioacutenTipo de control
Procesamiento
Automaacutetico (A)Manual (M)
Control
De EntradaTipo de control
Soportes
Recepcioacuten Archivo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 98
DATOS BAacuteSICOS
TareaActividad
Proceso Responsable del Proceso
Fecha de Elaboracioacuten 2015
Accioacuten (es) Responsable (s)
OBSERVACIONES ELABORADO POR
FIRMA
NOMBRE
Plan de recuperacioacuten y Reactivacioacuten de Finanzas
Recomendaciones Acciones
La Cadena de Valor de una Organizacioacuten de Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 99
ASESORAR EN CONTROLES DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR DELEGACIONES FINANCIERAS
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
CONTROLAR SEGURIDAD SISTEMA
OPERACIONALES ADMINISTRATIVOS Y OTROS
SISTEMAS FINANCIEROS
DESARROLLAR CONTROLES
DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR Y DESARROLLAR PLAN INTEGRAL DE CONTROL ( PIC )
Asesorar en controles de procesos normas y
Procedimientos
Administrar delegaciones financieras
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
Controlar seguridad sistema
operacionales administrativos y otros
sistemas financieros
Desarrollar
controles de
procesos
normas y
procedimientos
Administrar y desarrollar plan integral de control ( PIC )
05062015 97
DATOS BAacuteSICOS
Responsable A Nivel Corporativo Responsable(s) A Nivel Regional
PROVEEDOR (ES)
Origen Responsable Insumo (s)
RESULTADOS
Normas y Procedimientos Asociados Fecha uacuteltima revisioacuten Sistemas Aplicaciones Asociadas
Proceso
CALIFICACIOacuteN DE CONTROLES DE ENTRADA
Actividad
RECOMENDACIONES
Procesamiento
Automaacutetico (A)Manual (M)
Frecuencia
Adiestramiento Proceso Sistema N y P Otros
Negocio Area Localidad
Responsable
Nombre CargoNombre Cargo
NOMBRE
ELABORADO POR
CARGO FIRMA
Calidad de Data (B) Buena (R) Regular (M) Mala Oportunidad (AT) A Tiempo (R) Retrasada Revisioacuten Aprobacioacuten (S) Si (N) NoLEYENDA
Calificacioacuten (F) Fuerte (M) Medio (B) Bajo
DescripcioacutenResponsableDescripcioacuten
Tarea
Descripcioacuten
FRECUENCIA DE LA TAREA Diaria (D) Semanal (S) Mensual (M) Trimestral (T) Anual (A) Ocasional (O)
Soportes Recepcioacuten (P) Papel (E) Electroacutenico Archivo (S) Si (N) No Soportes Enviacuteo (S) Si (N) No Backup (S) Si (N) No
Producto (s) Cliente ReceptorControl
de salida
SoportesFrecuencia
Recepcioacuten Backup
DOCUMENTOS SISTEMAS ASOCIADOS A LOS CONTROLES
CALIFICACIOacuteN DE CONTROLES (por parte del Cliente Receptor)
Revisioacuten
Aprobacioacuten
Revisioacuten
AprobacioacutenTipo de control
Procesamiento
Automaacutetico (A)Manual (M)
Control
De EntradaTipo de control
Soportes
Recepcioacuten Archivo
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 98
DATOS BAacuteSICOS
TareaActividad
Proceso Responsable del Proceso
Fecha de Elaboracioacuten 2015
Accioacuten (es) Responsable (s)
OBSERVACIONES ELABORADO POR
FIRMA
NOMBRE
Plan de recuperacioacuten y Reactivacioacuten de Finanzas
Recomendaciones Acciones
La Cadena de Valor de una Organizacioacuten de Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 99
ASESORAR EN CONTROLES DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR DELEGACIONES FINANCIERAS
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
CONTROLAR SEGURIDAD SISTEMA
OPERACIONALES ADMINISTRATIVOS Y OTROS
SISTEMAS FINANCIEROS
DESARROLLAR CONTROLES
DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR Y DESARROLLAR PLAN INTEGRAL DE CONTROL ( PIC )
Asesorar en controles de procesos normas y
Procedimientos
Administrar delegaciones financieras
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
Controlar seguridad sistema
operacionales administrativos y otros
sistemas financieros
Desarrollar
controles de
procesos
normas y
procedimientos
Administrar y desarrollar plan integral de control ( PIC )
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 98
DATOS BAacuteSICOS
TareaActividad
Proceso Responsable del Proceso
Fecha de Elaboracioacuten 2015
Accioacuten (es) Responsable (s)
OBSERVACIONES ELABORADO POR
FIRMA
NOMBRE
Plan de recuperacioacuten y Reactivacioacuten de Finanzas
Recomendaciones Acciones
La Cadena de Valor de una Organizacioacuten de Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 99
ASESORAR EN CONTROLES DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR DELEGACIONES FINANCIERAS
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
CONTROLAR SEGURIDAD SISTEMA
OPERACIONALES ADMINISTRATIVOS Y OTROS
SISTEMAS FINANCIEROS
DESARROLLAR CONTROLES
DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR Y DESARROLLAR PLAN INTEGRAL DE CONTROL ( PIC )
Asesorar en controles de procesos normas y
Procedimientos
Administrar delegaciones financieras
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
Controlar seguridad sistema
operacionales administrativos y otros
sistemas financieros
Desarrollar
controles de
procesos
normas y
procedimientos
Administrar y desarrollar plan integral de control ( PIC )
La Cadena de Valor de una Organizacioacuten de Seguridad de Sistemas
05062015 Tema 9 Seguridad Informaacutetica y Proteccioacuten de Datos 99
ASESORAR EN CONTROLES DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR DELEGACIONES FINANCIERAS
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
CONTROLAR SEGURIDAD SISTEMA
OPERACIONALES ADMINISTRATIVOS Y OTROS
SISTEMAS FINANCIEROS
DESARROLLAR CONTROLES
DE PROCESOS NORMAS Y
PROCEDIMIENTOS
ADMINISTRAR Y DESARROLLAR PLAN INTEGRAL DE CONTROL ( PIC )
Asesorar en controles de procesos normas y
Procedimientos
Administrar delegaciones financieras
ADMINISTRAR CALIDAD DE VIDA Y RECURSOS FINANCIEROS
ADMINISTRAR SISTEMAS
Controlar seguridad sistema
operacionales administrativos y otros
sistemas financieros
Desarrollar
controles de
procesos
normas y
procedimientos
Administrar y desarrollar plan integral de control ( PIC )