Nuevas TecnologíasSistemas de Información

Riesgos

Alonso Hernández

Madrid, 13 de noviembre de 2007

RIESGO

Contingencia o posibilidad de que ocurra un daño.

AMENAZA

Ataque:Posibilidad de

un daño.Materialización

de una amenaza.

VULNERABILIDAD

Debilidad de un activo que puede ser explotada por una amenaza para materializar una agresión sobre dicho activo.

PROBABILIDAD

Cifra que expresa el grado en que un hecho sea absolutamente seguro que ocurra o no.

Suele expresarse entre cero y uno.

DAÑO (IMPACTO)

Consecuencia para un activo de la materialización de una amenaza.

UNA AMENZA PRODUCE UN

Riesgo = Vulnerabilidad x Probabilidad x Impacto

Popularidad Simplicidad Impacto

CLASES DE RIESGO

FÍSICO LÓGICO

INTERNO

EXTERIOR

TIPOS DE VULNERABILIDADES

CONFIDENCIALIDAD INTEGRIDAD DISPONIBILIDAD

TIPOS DE VULNERABILIDADES

asegurar que la información es accesible sólo para aquellos autorizados a tener acceso

Confidencialidad

Integridad DisponibilidadSalvaguardar la

información tanto en calidad como en cantidad

Asegurar que los usuarios autorizados tienen acceso a la

información y a los activos asociados cuando es requerido

PRINCIPALES AMENAZAS

¿Qué es Malware?

Por similitud es el hardware o software que produce o puede producir daño al sistema.

PRINCIPALES AMENAZAS

Es la suma de:

Virus informáticos+

Spyware+

Ingeniería social

VIRUS INFORMÁTICOS

Virus programa que está diseñado para “infectar” a otros programas o archivos.

El término infectar se refiere a que el virus insertará una copia de sí mismo dentro del un archivo “sano”.

VIRUS INFORMÁTICOS

Gusanos son diseñados para propagarse de forma masiva, a través de e-mail y/o redes.

SPYWARE

Son programas que se dedican a espiar, obtener y mandar información del ordenador o red que afectan.

Sus principales actividades son: Enviar publicidad agresiva Robar direcciones de e-mail Robar información bancaria

TIPOS DE SPYWARE

Caballos de Troya (software maligno disfrazado de legítimo)

Puertas traseras (facilita la entrada a usuarios sin autorización)

Pop ups (ventanas que muestran publicidad)

Keyloggers (capturador de teclas)

Marcadores (marca número telefónico para acceder a través de módem)

Adware (envía publicidad)

DoS (Denegación de servicios)

INGENIERÍA SOCIAL

Incluye todas las técnicas, métodos y medios que puede usar un atacante para engañar.

Desde buscar información en la basura, hasta la creación de sitios web falsos.

Promover amistad con usuarios.

HACKERS

Preparación de un ataque:1. Seguir el rastro

2. Exploración

3. Exploración de puertos

4. Enumeración

HACKERS

Preparación de un ataque:1. Seguir el rastro

Recopilar información sobre el objetivo Acceso remoto Arquitectura intranet – internet – extranet Determinar el alcance Enumeración de la red Interrogación del DNS Reconocimiento de red

HACKERS

Preparación de un ataque:1. Seguir el rastro

2. Exploración Sistemas activos Sistemas accesibles

3. Exploración de puertos

4. Enumeración

HACKERS

Preparación de un ataque:1. Seguir el rastro

2. Exploración

3. Exploración de puertos Conexión TCP

4. Enumeración

HACKERS

Preparación de un ataque:1. Seguir el rastro

2. Exploración

3. Exploración de puertos

4. Enumeración Cuentas de usuario válidas Cuentas compartidas mal protegidas

CONTROLES O DEFENSAS

Establecer política de seguridad. No instalar programas de dudoso origen. Mantener actualizado el sistema operativo. Tener programa antivirus y firewall. Cuentas de usuarios con pocos privilegios. Hacer copias de respaldo. Principio de Deming.

PRINCIPIO DE DEMING

Plan

Do

Check

Act

Gestión de la continuidad del

negocio

Clasificación y control de

activos

Política de Seguridad

Organización de la

seguridad

Aspectos de la seguridad relativos

al personalSeguridad física

y del entorno

Gestión de las comunicaciones y operaciones

Control de acceso

Mantenimiento y desarrollo de sistemas

Conformidad

ELEMENTOS DE DEFENSA (BIENWARE)

Cortafuegos Proxy Password Cifrado Antivirus Inalámbrico

FRAUDE

Consiste en un acto ilegal consciente, la ocultación de ese acto y la obtención de beneficio por ese acto.

FRAUDE – Clases

AICPA distingue dos clases distintas:

1. Manifestación errónea voluntaria sobre información financiera.

2. Robo.

FRAUDE – Concepto legal

Concepto legal:

Cuando una persona a sabiendas realiza una manifestación falsa en la que la víctima confía que resulta en prejuicio para la víctima.

FRAUDE – Tipos de cargos

Los cargos legales pueden ser diversos:

Fraude Robo Malversación Desfalco

FRAUDE

Razones por las que se comete fraude:

Oportunidad

Presión Justificación• Financiera

• Controles débiles• Posición de confianza

• No es un crimen• Está justificado• Préstamo• Lo hace todo el mundo

FRAUDE

Al auditor deben serle familiares las precondiciones para detectar el fraude:

Determinar el riesgo de fraude, estudiando el sistema de controles.

Conocer detalladamente los síntomas de fraude.

Estar alerta a estos síntomas.