Information Security Ethical Hacking & Computer Forensics

1
Information SecurityEthical Hacking Computer
Forensics
ZL-SSC Certifications
Consultor en Seguridad e Inteligencia Corporativa
ZL SECURITY SENIOR CONSULTANTTel. 54 11 4590
2320Fax. 54 11 4590 2201Edificio Laminar
PlazaIng Butty 240, 4 PisoC1001AFB Capital
Federal - Argentinawww.zacariasleone.com.ar
2
Delitos Informáticos
3
Delitos Informáticos
Concepto
El delito informático puede comprender tanto
aquellas conductas que valiéndose de medios
informáticos lesionan intereses protegidos como
la intimidad, el patrimonio económico, la fe
pública, la seguridad, etc., como aquellas que
recaen sobre herramientas informáticas
propiamente dichas tales como programas,
computadoras, etc.
4
Principales Amenazas

• Existen cuatro tipos básicos.
• Delitos contra la confidencialidad, la integridad
  y la disponibilidad de los datos y sistemas
  informáticos.
• Delitos de fraude informático.
• Delitos por su contenido.
• Delitos relacionados con la infracción de la
  propiedad intelectual.

5
Quienes pueden atacar?
80 Novatos 12 Intermedio 5 Avanzados 3
Profesionales
6
A quienes afectan los delitos informáticos

• Las empresas utilizan sistemas de información
  llegando a ser inevitablemente dependientes de
  ellos, ya que la mayor parte de sus datos están
  almacenados en los equipos informáticos.
  Cualquier problema en los sistemas de información
  repercute instantáneamente en la totalidad de la
  empresa y afecta al funcionamiento normal.
• Un tercio de los usuarios utiliza contraseñas
  como el nombre de su mascota, su hijo o un plato
  favorito. Cualquiera de ellas es fácil de
  adivinar en cuestión de minutos y cada vez más
  virus se valen de esta debilidad de los usuarios.
  (el virus "Deloder", que logró ingresar en más de
  10.000 sistemas en el mundo a partir de una serie
  de listas con contraseñas).
• Las amenazas pueden surgir tanto desde el
  exterior como desde el interior de la compañía
  virus, hackers, los propios empleados, etc.

7
Como afectan los delitos informáticos
8
Vulnerabilidades mas comunes
9
Ataque paso a paso
Estado del ataque
Ejemplo de Acciones
10
Técnicas de Ataque
El uso de herramientas y de la información para
crear un perfil completo de la postura de la
seguridad de una organización.
Footprinting
El atacante usa herramientas y la información
obtenida para determinar qué sistemas estas vivos
y accesibles desde Internet así como qué puertos
están escuchando en el sistema.
Scanning
Uso de herramientas para obtener la información
detallada (servicios ejecutándose, cuentas de
usuario, miembros de un dominio, políticas de
cuentas, etc.) sobre un sistema remoto, con el
intento de atacar la seguridad de cuentas y
servicios en el objetivo
Enumeration
11
Técnicas de Ataque
Después que el atacante tiene identificado y
accede al trafico del firewall que puede permitir
tráfico de entrada de un puerto origen 53,
procurar instalar un software Port Redirector en
el equipo dentro del firewall. El Port
Redirector tomará el tráfico entrante destinado
para un puerto (53) y lo enviará a otro equipo
detrás del firewall en otro puerto (3389).
Port Redirection
Hay varias herramientas disponibles que pueden
permitir a un hacker tomar control de un sistema.
Por ejemplo, Samdump y Brutus son crackers de
passwords. Samdump se utiliza extraer los
passwords de los archivos. Brutus es un cracker
de password remoto. Si un hacker consigue el
acceso a una copia de una base de datos, el
hacker podría utilizar l0phtcrack y extraer los
usuarios y passwords exactos.
Gaining Access
12
Técnicas de Ataque
Un hacker puede causar la mayoría del daño
consiguiendo privilegios administrativos en una
red. Hay varias utilidades que un hacker puede
utilizar para ganar privilegio administrativo.
Por ejemplo, la utilidad Getadmin.exe es usada
para otorgar a usuarios comunes privilegios
administrativos agregando a estos usuarios al
grupo de administradores. Esta utilidad funciona
con todas las cuentas excepto con la cuenta de
Guest.
Privilege Escalation
Remote Administration Tools
Eso permite que un usuario remoto realice
cualquier acción remotamente vía un puerto a su
elección sin un usuario local del sistema que lo
habilite. Ejemplo Sub7 es el más popular / NT
Rootkit es el más avanzado
13
Footprinting El servicio WHOIS
El servicio WHOIS es uno de los tantos
servicios de información disponible en Internet.
Con él se puede obtener información sobre
direcciones IP y nombres de dominio, por lo que
es muy utilizado por los atacantes para obtener
información a la hora de planificar un
ataque. Existen numerosos servidores whois ya que
los registros de dominios están descentralizados,
pero usualmente existe al menos uno por cada
código de país. (.ar, .ru, .es, etc.)
14
Footprinting El servicio WHOIS
En el caso de los .com, .org, .edu (gTLDs-
Generic Top Level Domains), la información está
disponible en los servidores de las distintas
entidades registrante. El registro de las IP es
mantenido por el servidor ARIN (American Registry
of Internet Numbers) para las asignadas a EEUU y
Canadá el Servidor LACNIC (Latin America and
Caribean Network Information Center) para las de
América Latina y el Caribe y el servidor RIPE NCC
(Reséaux IP Européens Network Cordination Centre)
para las europeas.
15
Footprinting El servicio WHOIS
ACCEDIENDO AL SERVICIO Para acceder al servicio
whois solo hace falta la herramienta telnet y
su única función será la de establecer una
conexión TCP mediante el puerto 43 con el
servidor del que se va a requerir la información.
Usando el comando telnet servidorwhois 43 se
creará la conexión entre nuestro sistema y el
servidor whois
16
Footprinting El servicio WHOIS
Petición realizada sobre google.com
17
Footprinting El servicio WHOIS
Petición realizada sobre google.com enviada a
whois.alldomains.com
18
Footprinting El servicio WHOIS
Petición realizada sobre una IP enviada a
whois.lacnic.net
19
Footprinting El servicio WHOIS
Otras forma de acceder al servicio whois es
mediante la interfaz que brindan sitios en
Internet.
20
Footprinting El servicio WHOIS
21
Fraudes
Estas conductas consisten en la manipulación
ilícita, a través de la creación de datos falsos
o la alteración de datos o procesos contenidos en
sistemas informáticos, realizada con el objeto de
obtener ganancias indebidas.
Omitir ingresar datos verdaderos Ingresar
datos falsos
manipulación del input
interferir en el procesamiento de la
información alterar el programa modificar los
programas originales adicionar programas
especiales
manipulación del output
22
Fraude Corporativo

• Se calcula que las empresas pierden entre el 5 y
  6 de sus ingresos brutos a causa de los fraudes
  corporativos.
• Los mayores perjuicios son consecuencia de los
  delitos cometidos a nivel gerencial.
• Menos del 10 de los casos son denunciados a la
  justicia.
• Las compañías optan por deshacerse del empleado
  infiel buscando una solución puertas adentro, lo
  que implica, muchas veces, el pago de una jugosa
  indemnización.
• La defraudación es el delito mas extendido dentro
  de las empresas.

23
Fraude Corporativo

• En la Argentina las pérdidas ascendieron a US
  2,7 millones en los últimos dos años.
• En Latinoamérica 9 de cada 10 empresas padecen
  malversación de fondos.
• Siguiendo un orden jerárquico los delitos se
  agravan a medida que se asciende en la estructura
  de una corporación.
• Actualmente se recupera menos del 20 de la
  pérdida, mientras que el 40 de las empresas no
  recupera nada.

24
Fraude Corporativo

• Los fraudes cometidos por ejecutivos causan
  pérdidas 6 veces mayores que los cometidos por
  supervisores y 14 veces mas altas que las
  cometidas por otros empleados.
• El 60 de los casos de fraude proviene de
  empleados, el 20 de los clientes y el 16 de
  vendedores o representantes.
• Mas del 50 de los fraudes se descubren por
  denuncias anónimas.
• Para prevenirse deben utilizarse procedimientos
  de análisis y verificación no tradicionales ni
  rutinarios, para evitar que el defraudador, ya
  prevenido, de los controles pueda borrar las
  huellas detectables.

25
Top Five de las Ciberestafas
El engaño consiste en enamorar por e-mail a un
hombre, en la mayoría de los casos mayor y con la
excusa de querer conocerlo le hacen que pague los
gastos ocasionados por el viaje, regalos,
traductores, etc. y por supuesto la supuesta
novia por correo nunca aparece.
Fraude en sitios de Solos y Solas
Se le ofrece a una empresa realizar exportaciones
de gran volumen a Nigeria, para poder lograrlo
debe abonar previamente tasas aduaneras,
impuestos, etc. Las ofertas se realizan desde
E-Mail gratuitos de Europa.
Inversiones en Nigeria
26
Top Five de las Ciberestafas
Algunos mercados virtuales ofrecen una amplia
selección de productos a precios muy bajos. Una
vez que el consumidor ha enviado el dinero puede
ocurrir que reciban algo con menor valor de lo
que creía, o peor todavía, que no reciba nada.
Las subastas
En algunos sitios para adultos, se pide el número
de la tarjeta de crédito con la excusa de
comprobar que el usuario es mayor de 18 años. El
verdadero objetivo es obtener los números de
tarjeta para realizar otras operaciones.
Páginas para adultos
27
Top Five de las Ciberestafas
Se le ofrece un sistema infalible para obtener el
password de una cuenta de hotmail enviando un
mail a una cuenta forgot_pass_at_hotmail.com,
colocando en el subject la dirección de correo a
hackear y el nombre de usuario y password propio.
Manual para Hackear Hotmail
Algunas otras Ciberestafas
Ventas piramidales - Viajes y vacaciones Gay -
Trabaje desde su casa - Productos y servicios
milagrosos - Venta de pasajes de avión Bancos
Falsos en Internet - Venta y Alquiler de
propiedad.
28
Otros Delitos Informáticos
Delitos informáticos contra la privacidad Grupo
de conductas que de alguna manera pueden afectar
la esfera de privacidad del ciudadano mediante la
acumulación, archivo y divulgación indebida de
datos contenidos en sistemas informáticos Esto es
que alguien, sin estar autorizado, se apodere,
utilice o modifique, en perjuicio de tercero,
datos reservados de carácter personal o familiar
de otro que se hallen registrados en ficheros o
soportes informáticos, electrónicos o
telemáticos, o cualquier otro tipo de archivo o
registro público o privado. Ej Base de Datos
A.N.Se.S. Veraz Padrones
29
Otros Delitos Informáticos
Intercepción de e-mail En este caso es
equiparable a la violación de correspondencia, y
la intercepción de telecomunicaciones, por lo
que la lectura de un mensaje electrónico ajeno
reviste la misma gravedad. Terrorismo Mensajes
anónimos aprovechados por grupos terroristas para
remitirse consignas y planes de actuación a nivel
internacional. Crimen Organizado Transnacional
para la coordinación de

• Tráfico de drogas
• Tráfico de armas
• Tráfico de personas
• Lavado de dinero
• Tráfico de tecnología y material nuclear,
  químico y bacteriológico

30
Otros Delitos Informáticos
Espionaje Se ha dado casos de acceso no
autorizado a sistemas informáticos
gubernamentales e interceptación de correo
electrónico secreto, entre otros actos que
podrían ser calificados de espionaje si el
destinatario final de esa información fuese un
gobierno u organización extranjera. Espionaje
industrial También se han dado casos de accesos
no autorizados a sistemas informáticos de grandes
compañías, usurpando diseños industriales,
fórmulas, sistemas de fabricación y know how
estratégico que posteriormente ha sido
aprovechado en empresas competidoras o ha sido
objeto de una divulgación no autorizada.
31
Seguridad de la Información

• NORMA IRAM-ISO IEC 17799

32
Seguridad de la Información
La información es un recurso de valor estratégico
para las empresas y como tal debe ser debidamente
protegida. Las políticas de seguridad de la
información protegen de una amplia gama de
amenazas, a fin de garantizar la continuidad de
los sistemas de información, minimizar los
riesgos de daño y asegurar el eficiente
cumplimiento de los objetivos. Es importante que
los principios de la política de seguridad sean
parte de la cultura organizacional. Para esto, se
debe asegurar un compromiso manifiesto de las
máximas autoridades de la compañía para la
difusión y consolidación de las políticas de
seguridad.
33
Beneficios de implementar políticas de seguridad
de la información

• Consolidación de la seguridad como tema
  estratégico.
• Planeamiento y manejo de la seguridad más
  efectivos.
• Mayor seguridad en el ambiente informático y
  mejor reacción ante incidentes.
• Minimización de los riesgos inherentes a la
  seguridad de la información.
• Cuantificación de los posibles daños por ataques
  a la seguridad de la información.

34
Beneficios de implementar políticas de seguridad
de la información

• Orden en el trabajo bajo un marco normativo que
  evita la duplicación de tareas y facilita el
  intercambio de información.
• Concientización global sobre la importancia de la
  seguridad de la información.
• Mejora de la imagen.
• Aumento de la confianza de terceros.
• Mayor control de la información proporcionada a
  terceros.
• Auditorías de seguridad más precisas y
  confiables.

35
Por qué basarse en la norma ISO/IRAM 17799?

• Aumento de los niveles de seguridad en las
  organizaciones
• Planificación de actividades
• Mejora continua
• Posicionamiento estratégico
• Cumplimiento de normativas y reglamentaciones
• Posicionamiento en un esquema comparativo en
  materia de seguridad con otras organizaciones

El Instituto Argentino de Normalización (IRAM),
ha homologado en nuestro país la norma ISO 17799,
como Norma ISO/IRAM 17799
36
Dos preguntas básicas relacionadas a políticas
de Seguridad de la Información

• Cuánto tiempo insume el desarrollo de una
  Política de Seguridad?
• Es necesario incorporar personal especializado
  en seguridad de la información para cumplir con
  las definiciones en la materia?

37
Prejuicios a la hora de implementar políticas
de seguridad de la información

• La seguridad informática no afecta mi actividad.
• La seguridad es una incumbencia del área
  informática
• La información que manejamos no es objeto de
  ataques
• Mi red es segura porque se encuentra protegida de
  ataques externos
• Tenemos seguridad pues en la última auditoría no
  tuvimos observaciones críticas.

38
Prejuicios a la hora de implementar políticas
de seguridad de la información

• Tenemos un control absoluto de los incidentes de
  seguridad que ocurren en nuestra red.
• El tiempo invertido en documentación debe ser
  descontado de las tareas habituales del personal
  destinado a la elaboración de la política.
• Los recursos valiosos deberán ser apartados de la
  línea de fuego
• Posibles conflictos políticos, comerciales o de
  relaciones humanas..
• No disponemos de personal especializado.

39
Seguridad de la Información
OBJETIVO Proteger los recursos de información y
la tecnología utilizada para su procesamiento,
frente a amenazas, internas o externas,
deliberadas o accidentales, con el fin de
asegurar el cumplimiento de la confidencialidad,
integridad, disponibilidad, legalidad y
confiabilidad de la información. Asegurar la
implementación de las medidas de seguridad,
identificando los recursos, sin que ello implique
necesariamente la asignación de recursos
adicionales. Mantener la Política de Seguridad
actualizada, a efectos de asegurar su vigencia y
nivel de eficacia.
40
Seguridad de la Información
RESPONSABILIDAD Todos el personal, tanto se trate
de Directores, Gerentes o personal técnico, etc.
sea cual fuere su nivel jerárquico son
responsables de la implementación de las Política
de Seguridad de la Información dentro de sus
áreas de responsabilidad, así como del
cumplimiento por parte de su equipo de
trabajo. La Política de Seguridad de la
Información debe ser de aplicación obligatoria
para todo el personal, cualquiera sea el área a
la cual se encuentre afectado y el nivel de las
tareas que desempeñe.
41
Seguridad de la Información
ASPECTOS GENERALES Organización de la Seguridad
Orientado a administrar la seguridad de la
información y establecer un marco de control
Clasificación y Control de Activos Destinado a
mantener una adecuada protección de los activos
de Información. Seguridad del Personal
Orientado a reducir los riesgos de error humano,
comisión de ilícitos o uso inadecuado.
Seguridad Física y Ambiental Destinado a impedir
accesos no autorizados, daños e interferencia a
las sedes y/o la información.
42
Seguridad de la Información
ASPECTOS GENERALES Gestión de las
Comunicaciones y las Operaciones Dirigido a
garantizar el funcionamiento correcto y seguro de
las instalaciones de procesamiento de la
información y medios de comunicación. Control
de Acceso Orientado a controlar el acceso a la
información. Administración de la Continuidad
de las Actividades está dirigido a contrarrestar
las interrupciones de las actividades y proteger
los procesos críticos. Cumplimiento Destinado a
impedir infracciones y violaciones de las
políticas y legislación vigente.
43
Organización de las políticas de seguridad de la
información

• Revisar y proponer la política y las funciones
  generales en materia de seguridad de la
  información.
• Monitorear cambios significativos en los riesgos
  frente a las amenazas más importantes.
• Supervisar la investigación y monitoreo de los
  incidentes relativos a la seguridad.
• Acordar y aprobar iniciativas, metodologías y
  procesos específicos relativos a la seguridad de
  la información de acuerdo a las competencias
  asignadas a cada área.

44
Organización de las políticas de seguridad de la
información

• Garantizar que la seguridad sea parte del proceso
  de planificación de la información.
• Evaluar y coordinar la implementación de
  controles específicos para nuevos sistemas o
  servicios.
• Coordinar el proceso de administración de la
  continuidad de la operatoria de los sistemas de
  tratamiento de la información frente a
  interrupciones imprevistas.

45
Responsabilidad
Seguridad del Personal Seguridad Física y
Ambiental. Seguridad en las Comunicaciones y las
Operaciones Control de Accesos Seguridad en el
Desarrollo y Mantenimiento de Sistemas Planificaci
ón de la Continuidad Operativa
Comité de Seguridad de la Información
Departamento Legal
Cumplimiento
Sanciones
46
Clasificación y Control de Activos
Se debe tener un acabado conocimiento sobre los
activos que poseemos como parte importante de la
administración de riesgos. Algunos ejemplos de
activos son

• Activos de información bases de datos y
  archivos, documentación de sistemas, manuales de
  usuario, material de capacitación, procedimientos
  operativos o de soporte, planes de continuidad,
  información archivada, etc.
• Recursos de software software de aplicaciones,
  sistemas operativos, herramientas de desarrollo,
  utilitarios, etc.
• Activos físicos equipamiento informático (CPU,
  monitores, notebooks, módems), equipos de
  comunicaciones (routers, máquinas de fax,
  contestadores automáticos), medios magnéticos
  (cintas, discos), otros equipos técnicos
  (relacionados con el suministro eléctrico,
  unidades de aire acondicionado), mobiliario,
  lugares de emplazamiento, etc.
• Servicios servicios informáticos y de
  comunicaciones, utilitarios generales
  (calefacción, iluminación, energía eléctrica,
  etc.).

47
Clasificación y Control de Activos

• Los activos de información deben ser clasificados
  de acuerdo a la sensibilidad y criticidad de la
  información que contienen o bien de acuerdo a la
  funcionalidad que cumplen y rotulados en función
  a ello, con el objeto de señalar cómo ha de ser
  tratada y protegida dicha información.
• Frecuentemente, la información deja de ser
  sensible o crítica después de un cierto período
  de tiempo, por ejemplo, cuando la información se
  ha hecho pública.
• La información puede pasar a ser obsoleta y por
  lo tanto, será necesario eliminarla, para ello se
  debe asegurar la confidencialidad de la misma
  hasta el momento de su eliminación
• Las pautas de clasificación deben prever y
  contemplar el hecho de que la clasificación de un
  ítem de información determinado no necesariamente
  debe mantenerse invariable por siempre, y que
  ésta puede cambiar de acuerdo con una Política
  predeterminada.

48
Clasificación y Control de Activos
Objetivo

• Garantizar que los activos de información reciban
  un apropiado nivel de protección.
• Clasificar la información para señalar su
  sensibilidad y criticidad.
• Definir niveles de protección y medidas de
  tratamiento especial acordes a su clasificación.

Responsabilidad
Los propietarios de la información son los
encargados de clasificarla de acuerdo con su
grado de sensibilidad y criticidad, de documentar
y mantener actualizada la clasificación
efectuada, y de definir las funciones que deberán
tener permisos de acceso a la información.
49
Clasificación y Control de Activos

• El nuevo valor de la información requiere
  indiscutiblemente un alto nivel de seguridad a
  fin de lograr mantener
• LA CONFIDENCIALIDAD
• LA INTEGRIDAD
• LA DISPONIBILIDAD

50
Clasificación y Control de Activos
CONFIDENCIALIDAD
1 PUBLICO- Información que puede ser conocida y
utilizada sin autorización por cualquier persona,
sea empleado o no. 2 USO INTERNO - Información
que puede ser conocida y utilizada por todos los
empleados y algunas entidades externas
debidamente autorizadas, y cuya divulgación o uso
no autorizados podría ocasionar riesgos o
pérdidas leves para la entidad o terceros. 3
CONFIDENCIAL - Información que sólo puede ser
conocida y utilizada por un grupo de empleados,
que la necesiten para realizar su trabajo, y cuya
divulgación o uso no autorizados podría ocasionar
pérdidas significativas para la entidad o
terceros. 4 SECRETA - Información que sólo puede
ser conocida y utilizada por un grupo muy
reducido de empleados, generalmente del
directorio, y cuya divulgación o uso no
autorizados podría ocasionar pérdidas graves para
la entidad o terceros.
51
Clasificación y Control de Activos
INTEGRIDAD
1- Información cuya modificación no autorizada
puede repararse fácilmente, o no afecta la
operatoria. 2- Información cuya modificación no
autorizada puede repararse aunque podría
ocasionar pérdidas leves. 3- Información cuya
modificación no autorizada es de difícil
reparación y podría ocasionar pérdidas
significativas. 4- Información cuya modificación
no autorizada no podría repararse, ocasionando
pérdidas graves.
52
Clasificación y Control de Activos
DISPONIBILIDAD
1- Información cuya inaccesibilidad no afecta la
operatoria. 2- Información cuya inaccesibilidad
permanente durante una semana podría ocasionar
pérdidas significativas. 3- Información cuya
inaccesibilidad permanente durante un día podría
ocasionar pérdidas significativas. 4-
Información cuya inaccesibilidad permanente
durante una hora podría ocasionar pérdidas
significativas.
53
Seguridad del Personal
Es fundamental educar e informar al personal
desde su ingreso y en forma continua, acerca de
las medidas de seguridad que afectan al
desarrollo de sus funciones y de las expectativas
depositadas en ellos en materia de seguridad y
asuntos de confidencialidad.
Objetivo

• Reducir los riesgos de error humano, comisión de
  ilícitos, uso inadecuado de instalaciones y
  recursos, y manejo no autorizado de la
  información.
• Garantizar que los usuarios estén al corriente de
  las amenazas e incumbencias en materia de
  seguridad de la información, y se encuentren
  capacitados para respaldar la Política de
  Seguridad en el transcurso de sus tareas
  normales.
• Establecer Compromisos de Confidencialidad con
  todo el personal y usuarios externos de las
  instalaciones de procesamiento de información.
• Establecer las herramientas y mecanismos
  necesarios para promover la comunicación de
  debilidades existentes, así como de los
  incidentes ocurridos, con el objeto de minimizar
  sus efectos y prevenir su reincidencia.

54
Seguridad Física y Ambiental
Brinda el marco para minimizar los riesgos de
daños e interferencias a la información y a las
operaciones del Organismo. Asimismo, pretende
evitar al máximo el riesgo de accesos físicos no
autorizados, mediante el establecimiento de
perímetros de seguridad.
Objetivo

• Prevenir e impedir accesos no autorizados, daños
  e interferencia a las sedes, instalaciones e
  información.
• Proteger el equipamiento de procesamiento de
  información crítica ubicándolo en áreas
  protegidas y resguardadas por un perímetro de
  seguridad definido, con medidas de seguridad y
  controles de acceso apropiados.
• Controlar los factores ambientales que podrían
  perjudicar el correcto funcionamiento del
  equipamiento informático.
• Implementar medidas para proteger la información
  manejada por el personal en las oficinas, en el
  marco normal de sus labores habituales.

55
Seguridad en las Comunicaciones y Operaciones
La proliferación de software malicioso, como
virus, troyanos, etc., hace necesario que se
adopten medidas de prevención, a efectos de
evitar la acción de tales amenazas. Los sistemas
de información están comunicados entre si, tanto
dentro de la compañía, como con terceros fuera de
ella. Por lo tanto es necesario establecer
criterios de seguridad en las comunicaciones que
se establezcan, permitiendo el intercambio de
información, de manera regulada para garantizar
las condiciones de confidencialidad, integridad y
disponibilidad de la información que se emite o
recibe por los distintos canales.
Objetivo

• Garantizar el funcionamiento correcto y seguro de
  las instalaciones de procesamiento de la
  información y comunicaciones.
• Establecer responsabilidades y procedimientos
  para su gestión y operación, incluyendo
  instrucciones operativas, procedimientos para la
  respuesta a incidentes y separación de funciones.

56
Control de Accesos
Para impedir el acceso no autorizado a los
sistemas de información se deben implementar
procedimientos para controlar la asignación de
acceso a los sistemas, bases de datos y servicios
de información, y estos deben estar claramente
documentados, comunicados y controlados.
Objetivo

• Impedir el acceso no autorizado a los sistemas y
  servicios de información, implementando medidas
  de seguridad en los accesos de usuarios por medio
  de técnicas de autenticación y autorización.
• Controlar la seguridad en la conexión entre las
  redes públicas o privadas, garantizándola también
  cuando se utiliza computación móvil e
  instalaciones de trabajo remoto.
• Registrar y revisar eventos y actividades
  críticas llevadas a cabo por los usuarios en los
  sistemas.
• Concientizar a los usuarios respecto de su
  responsabilidad frente a la utilización de
  contraseñas y equipos.

57
Desarrollo y Mantenimiento de Sistemas
Dado que los analistas y programadores tienen el
conocimiento total de la lógica de los procesos
en los sistemas, se deben implementar controles
que eviten maniobras dolosas por parte de estas
personas u otras que puedan operar sobre los
sistemas, bases de datos y plataformas de
software de base y en el caso de que se lleven a
cabo, identificar rápidamente al responsable.
Objetivo

• Asegurar la inclusión de controles de seguridad y
  validación de datos en el desarrollo de los
  sistemas de información.
• Definir y documentar las normas y procedimientos
  que se aplicarán durante el ciclo de vida de los
  aplicativos y en la infraestructura de base en la
  cual se apoyan.
• Definir los métodos de protección de la
  información crítica o sensible.

58
Planificación de la Continuidad Operativa
El desarrollo e implementación de planes de
contingencia es una herramienta básica para
garantizar que las actividades puedan
restablecerse dentro de los plazos requeridos,
Objetivo
Maximizar la efectividad de las operaciones de
contingencia del Organismo con el establecimiento
de planes que incluyan al menos las siguientes
etapas

• Notificación / Activación Consistente en la
  detección y determinación del daño y la
  activación del plan.
• Reanudación Consistente en la restauración
  temporal de las operaciones y recuperación del
  daño producido al sistema original.
• Recuperación Consistente en la restauración de
  las capacidades de proceso del sistema a las
  condiciones de operación normales.

59
Cumplimiento
El diseño, operación, uso y administración de los
sistemas de información están regulados por
disposiciones legales y contractuales y los
requisitos normativos y contractuales de cada
sistema de información deben estar debidamente
definidos y documentados.

• Garantizar que los sistemas cumplan con la
  política, normas y procedimientos de seguridad.
• Revisar la seguridad de los sistemas de
  información periódicamente a efectos de
  garantizar la adecuada aplicación de la política,
  normas y procedimientos de seguridad, sobre las
  plataformas tecnológicas y los sistemas de
  información.

60
Cumplimiento

• Optimizar la eficacia del proceso de auditoria de
  sistemas y minimizar los problemas que pudiera
  ocasionar el mismo, o los obstáculos que pudieran
  afectarlo.
• Garantizar la existencia de controles que
  protejan los sistemas en producción y las
  herramientas de auditoria en el transcurso de las
  auditorias de sistemas.
• Determinar los plazos para el mantenimiento de
  información y para la recolección de evidencia.

61
Para finalizar...
Quién es responsable de la seguridad?
La respuesta es una sola
Es responsabilidad de TODOS
62
Muchas gracias por su atención
Zacarías Leone Director ZL-SSC C.E.H. and
C.H.F.I.
ZL SECURITY SENIOR CONSULTANTTel. 54 11 4590
2320Fax. 54 11 4590 2201Edificio Laminar
PlazaIng Butty 240, 4 PisoC1001AFB Capital
Federal - Argentinawww.zacariasleone.com.ar