Seguridad & Hacking Actualización: Octubre 2013

Documentos relacionados
LA METODOLOGÍA DEL BANCO PROVINCIA

ISO Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA WENDY CARRASCAL VILLAMIZAR

Test de intrusión (Penetration Test) Introducción

NOTIFICACIÓN DE LOS DERECHOS A LA PRIVACIDAD

Fundamentos de la Seguridad Informática

Servicios Administrados al Cliente

Políticas de seguridad de la información. Empresa

Sumario. Vicki James Noviembre de 2013

10 años especializados en seguridad y control de riesgos. Visión integral de la seguridad, vinculando a. Sistemas Procesos Personas Instalaciones

GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP

Gestión de la Seguridad de Activos Intelectuales

CAS-CHILE S.A. DE I. 2013

DECLARACIÓN INTERNACIONAL DE PRÁCTICAS DE AUDITORÍA COMERCIO ELECTRÓNICO EFECTO EN LA AUDITORÍA DE ESTADOS FINANCIEROS (Vigente)

CiberNoticias. SCProgress.

Microsoft es una marca comercial registrada o una marca comercial de Microsoft Corporation en Estados Unidos y otros países.

Infraestructura Tecnología y servicios de vanguardia sin ataduras.

Los riesgos de Facebook y otras redes sociales.

Definición del Sistema de Gestión de Seguridad de la Información (SGSI) ALCALDÍA DE SANTA ROSA DE OSOS

Resumen de indicadores básicos de COBIT Preparado por: T I AUDISEG S.A.

La Confederación Empresarial Norte de Madrid (CENOR), gracias a la financiación de la Fundación para la Prevención de Riesgos Laborales, continúa

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA

IAP ENTORNOS INFORMATIZADOS CON SISTEMAS DE BASES DE DATOS

Hacking ético. Módulo 0 Introducción al Hacking Etico

XITH. Auditorias de seguridad en TI. Presentación del servicio CONOCIMIENTO ESTRATEGIA CRECIMIENTO

ISO 17799: La gestión de la seguridad de la información

NORMATIVA ISO Tasador colaborador con con la la justicia

PRC-DTI-006 Administración de Roles de los Sistemas de Información de la DTI Procedimiento Dirección de TI - COSEVI

INVITACIÓN A PRESENTAR EXPRESIONES DE INTERÉS

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2

NTP - ISO/IEC 27001:2008

Curso de doctorado. Seguridad en Redes de Ordenadores. Tema 1: Introducción a la seguridad informática

Quién está en buró de crédito?

SEGUIMIENTO Administración del Riesgos - INM

Accionamientos de media tensión Servicios al ciclo de vida para asegurar una alta confiabilidad, disponibilidad y eficiencia

CERTAMEN N 1 GESTIÓN DE MANTENCIÓN DE FLOTA (ACA303) NOMBRE: CURSO:

Mestrado em Tecnologia da Informação. Segurança da Informação

Gestión de riesgo operacional

ITIL. Mejora de la calidad en la gestión de servicios de TI. Gestión Financiera

COBIT o COBIT enfatiza el cumplimiento regulatorio, ayuda a las organizaciones a

POLITICAS DE BUEN USO DE REDES INALÁMBRICAS DE FINDETER

Norma NTC-ISO/IEC Sistema de Gestión de Seguridad de Información

TALLER 2. MEJORA CONTINUA

Seguridad Informática

NORMAS INTERNACIONALES DE ASEGURAMIENTO DE LA INFORMACIÓN NAI

II. PROCESO DE EVALUACIÓN DESARROLLO Y ADMINISTRACIÓN DE SISTEMAS INFORMÁTICOS

Acceptable Use Policy

GESTIÓN DE LA DOCUMENTACIÓN


SEGURIDAD Y HERRAMIENTAS

Sin embargo, con el tiempo ocurren errores en el disco duro, los datos se desorganizan y las referencias se vuelven obsoletas.

Antimalware off-line y whitelisting de aplicaciones

Documentos disponibles

Esquema Nacional de Seguridad

Actualmente se han creado nueve UVAES en el país, en donde se han capacitado 11 mil 794 personas.

ANTIVIRUS EN LiNEA: seguridadticmelilla.es

Códigos y Directrices de Investigación Mundial GUÍA ESOMAR PARA LOS ESTUDIOS MYSTERY SHOPPING

Operación 8 Claves para la ISO

Riesgos asociados al CLOUD

Cómo afrontar con éxito la Certif icación ISO 27001:2005. Valencia, octubre Juan Carlos Serrano Antón

Webinar Gratuito Hacking Ético

Línea Base Juan Carlos Bajo Albarracín Qué es una línea base Cómo implantar la Ley 29783: El concepto sistema de gestión en la Ley 29783

SISTEMA DE INFORMACIÓN DE LA BIODIVERSIDAD DE EUSKADI

ESQUEMA NACIONAL DE SEGURIDAD EN EL ÁMBITO DE LA

MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013

Modelamiento de Amenazas en el Desarrollo de Software

Modelos de uso de las Soluciones de Autenticación para Banca a Distancia

ISO/IEC Sistema de Gestión de Seguridad de la Información

ROBO DE IDENTIDAD. Cuando usted sabe cómo manejar las finanzas de su negocio, tiene una herramienta muy valiosa para proteger su patrimonio.

POLÍTICA DE SEGURIDAD DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI)

CURSO TALLER Norma ISO sobre Gestión de Seguridad de la Información

Análisis de costos proyectado de la plataforma SAP HANA

EA SP ACTA DE REUNIÓN FECHA Y OBJETIVOS. Assistência Técnica para a

DESCRIPCIÓN DEL PROCESO DE RIESGO OPERACIONAL

ESTÁNDARES DE COBRO Guía para el Aviso de Incumplimiento en el Pago al Aportante

Subgerencia General Auditoría General

La tecnología es buena si nos hace la vida más fácil

L.O.P.D. C/Rafael Sánchez 61. Real de San Vicente Toledo. Teléfono: Fax:

Despacho de Aduanas Previo al Arribo de la Mercadería

-Usar el preservativo, que evita el contagio de otras enfermedades de transmisión sexual.

TODOS SOMOS RESPONSABLES

CAPÍTULO 2: SISTEMAS DE DETECCIÓN DE INTRUSOS

THE WARRANTY GROUP, INC. POLÍTICA DE DELEGACIÓN DE FACULTADES

Programa de soporte técnico ampliado MSA Start

ACUERDO GENERAL DE ASOCIADOS DE NEGOCIOS

International Laboratory Accreditation Cooperation

PROCESO ADMINISTRACIÓN DEL SIG PROCEDIMIENTO GESTIÓN DE RIESGOS

110º período de sesiones. Roma, de septiembre de Informe sobre los progresos realizados en los sistemas de información administrativa

Norma ISO 9001:2015. Cuáles son los cambios presentados en la actualización de la Norma?

VIH. Conozca los Factores. Respuestas a 10 Preguntas Importantes Sobre VIH/SIDA. Departmento de Salud Pública de Illinois

Seguimiento a las recomendaciones del Auditor Interno Jefe para el año que finalizó el 31 de diciembre de 2012

Guía para identificar riesgos en el Proceso de Ventas

Cómo las herramientas en línea están revolucionando la implementación de ITIL e ISO 20000

2. Aceptación de Términos

Mejores prácticas de Seguridad en Línea

ESPÍRITU EMPRESARIAL EN ESPAÑA, EUROPA Y ESTADOS UNIDOS

Administración. de riesgos PARA PEQUEÑOS NEGOCIOS

Sistema de Gestión de Seguridad de la Información (SGSI) ISO/IEC Victor Rosillo. 14/05/2013 Evento Lima 2013 Victor Rosillo

MANUAL SOLICITUD DE ALTA Y CONEXION A LA WEB DE PROVEEDORES DE DISTRIBUCION

Gestión de riesgo operacional

CURRICULUM EMPRESARIAL. Innovar, Crear y Liderar"

Transcripción:

Seguridad & Hacking Actualización: Octubre 2013

Introducción El objetivo principal es compartir información. En un inicio, era seguro. Sin embargo, los accesos remotos e Internet han cambiado esto. Los usuarios quieren fácil acceso a los recursos. Los administradores quieren mantener seguridad.

Amenazas internas Son aquellas que provienen desde dentro de la organización. Incluye a los empleados que sin ninguna intención específica de causar daño, lo ocasionan El 42% de los fallos de seguridad son ocasionados por errores humanos. El 80% de los cortes de servicio son ocasionados por errores de las personas o en los procesos.

Amenazas externas Vienen de fuera de la organización Internet Contratistas con acceso físico a infraestructura.

Seguridad La seguridad esta asociada a la probabilidad. Debe llevarse a las diferentes áreas de la organización, no solo en TI. Elevar el nivel de: confidencialidad, integridad y disponibilidad. La seguridad siempre está asociada a los riesgos. Es necesario tener controles para evitar los riesgos. NADIE tiene el 100% de seguridad. Asociada a la probabilidad.

Riesgo Amenazas Vulnerabilidades Probabilidad de que una amenaza use una vulnerabilidad y provoque un impacto en la organización.

Ataques Reconocimiento Activo/Pasivo Escaneo Obtener Acceso Nivel de Sistema Operativo / Aplicación Nivel de Red Negación de Servicio Mantener Acceso Subir / Alterar / Descargar programas o datos Borrar las Huellas Reconocimiento Escaneo Obtener Acceso Borrar Huellas Mantener Acceso

Consecuencias A los Hackers no les importa en que tipo de negocio estés. Si los datos son alterados o robados, la organización puede perder credibilidad. Hay un continuo incremento en el malware que instala proxys abiertos, para crear zombies. Las organizaciones con mayor riesgo, son aquellas que tienen transacciones financieras en línea. Si el hacker desea entrar al sistema, lo hará y no hay nada que se pueda hacer al respecto. Lo único que se puede hacer, es que sea más difícil su acceso.

Hacktivismo Se refiere a la idea del hacking por alguna causa. Compromiso del hacker con alguna agenda política Apunta a enviar un mensaje a través de sus actividades y obtener atención para su causa. Sus blancos comunes son las agencias de gobierno, o alguna entidad que perciban que está mal o equivocada con sus ideas. Pero, permanece el factor de que el acceso no autorizado es un crimen, no importa cual sea su intención.

Clases de Hackers Sombrero Negro Individuos con habilidades extraordinarias de cómputo y lo utiliza para actividades maliciosas o destructivas. También conocidos como crackers. Sombrero Blanco Individuos profesionales con habilidades de hacker, y las utiliza con fines defensivos. Conocidos como analistas de seguridad Sombrero Gris Individuos que trabajan ofensiva y defensivamente. Hacker Suicida Individuos que intentan destruir infraestructura crítica por una causa, y no les importa pasar n años en la cárcel.

Hacker Ético Ex Sombrero Negro Crackers Reformados Experiencia de primera mano Se les percibe con baja credibilidad Sombrero Blanco Consultores independientes de seguridad. Afirman saber acerca de las actividades de los Sombrero Negro. Firmas de Consultoría Buenas Credenciales

Hacker Ético Preparación: En esta fase, se firma un contrato formal para proteger al hacker ético. El contrato también incluye la infraestructura, las actividades, y los tiempos Conducción: En esta fase, se prepara el reporte, con base en las vulnerabilidades potenciales investigadas. Conclusión: En esta fase, se comunica el reporte a la organización, y las acciones sugeridas.

Tipos de controles Un control efectivo disminuye la posibilidad de que suceda el riesgo PREVENTIVO Reducir La probabilidad De que el riesgo Se materialice Controles, Medidas de Seguridad DETECTIVO Aviso en el Momento en Que el riesgo se Materializa CORRECTIVO Cuando se minimiza El impacto, una vez Que el riesgo se materializa

Estándares / Buenas Prácticas ITIL (Information Technology Infraestructure Library). ISO 2000 (Sistema de Gestión de Servicios TI). Rainbow Series (6 libros). Common Criteria. ISO 27000 (Sistema de Gestión de Seguridad de Información). COBIT (Control Objectives for Information and Related Technology). OSSTMM (Open Source Security Testing Methodology Manual).

Estándares / Buenas Prácticas ISO 13000 (Seguridad en Redes). ISO 17000 (Seguridad de Información). ISO 31000 (Gestión de Riesgos).

Resumen Planeación Implementación Verificación Corrección

Gracias Juan Carlos Pedral Valencia ccsc@correo.azc.uam.mx

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback