Master in Business Administration

Documentos relacionados

IDENTIFICACIÓN DE VULNERABILIDADES Y PRUEBAS DE PENETRACIÓN EN REDES

Certification Auditor Interno ISO 27001

Seminario de Actualización: Gobernabilidad de Tecnología de Información. Organismos relacionados con TI

UNIDAD 3: GOBERNABILIDAD DE TECNOLOGÍA DE INFORMACIÓN

Developing Security for you. Ing. Camilo Fernández Consultor en Seguridad Informática

Seguridad de la Identidad como última frontera ante las APTs (Advanced Persistent Threats - APT)?

Las certificaciones más valoradas del mercado de TI

Seguridad & Hacking Actualización: Octubre 2013

Evolución de la estrategia de seguridad de la información basada en indicadores. Wilmar Arturo Castellanos CGEIT, CISM, CISA Deloitte

Un análisis del alineamiento definido por el ITGI y la OGC orientado a definir criterios claros de puesta en práctica del alineamiento.

XITH. Auditorias de seguridad en TI. Presentación del servicio CONOCIMIENTO ESTRATEGIA CRECIMIENTO

COBIT Consideraciones prácticas para una implementación exitosa

Introducción al IT Governance. Juan Rodrigo Anabalón Auditoria informática Universidad de los Lagos Chile

#233 Seguridad desde el punto de vista SOX y Gobernalidad

Mestrado em Tecnologia da Informação. Segurança da Informação

Sistema de Gestión n de la Seguridad de la Información

RESPUESTA A OBSERVACIONES A LOS PRETERMINOS DEL PROCESO DE OFERTA PÚBLICA No IMPLEMENTACIÓN PRÁCTICA DEL SGSI EN LA UPME

Cómo Asegurar la Calidad de Servicios de TI?

Servicios en seguridad de la información. Ing: Rodrigo Ferrer V. CISSP, CISA, ABCP, COBIT f.c, CSSA, CST.

Hambar IT Government Security Configuration Benchmarks Checklist de Seguridad Métricas

Gestión de Seguridad en canales electrónicos. Ing. Jorge O Higgins, CISSP

GERENCIA DE SEGURIDAD DE LA INFORMACIÓN Desarrollado para profesionales. de las Tecnologías de Información

Guía de Pentesting Básico

Presentación: Quién es ALAPSI Noreste? Asociación Latinoamericana de Profesionales en Seguridad de Información

Securing Movile Devices: using Cobit 5 on BYOD. Alfonso Mateluna Concha CISA CISM CRISC CISSP alfonso_mateluna@yahoo.com

Julio César Ardita 12 de Septiembre de 2012 Buenos Aires - Argentina

Métricas para la Seguridad de las Aplicaciones. MAI. Andrés Casas CISSP - CISA - CISM - CRISC - ITIL - COBIT Deloitte & Touche, S.A.

EL DIRECTOR DE SEGURIDAD

Seguridad en la base de datos Como nos protegen los estándares? Frano Capeta Mondoñedo Country Manager I-SEC Perú.

Servicios Administrados de Seguridad lógica

decir que GCP Global es una empresa que vende seguridad IT, sería como decir que Miguel Ángel pintaba techos

IT Guardian auditing & consulting services. IT Guardian auditing & consulting services

Pruebas de Intrusión de Aplicación

Seminario ITIL y Seguridad de la información en la práctica. José Antonio Espinal Dir. Tecnología, Tecnofor

Na segurança da tecnologia da informação

COBIT 5 Qué cambia y cómo amplía la última edición de la guía de ISACA para proveer un nuevo enfoque integrador de alto nivel para el gobierno de IT

Seguridad en las Redes

Certus, cierto Facere, hacer. Certificare

Entrenamiento para la Certificación de Oficial de Cumplimiento Certified Risk and Compliance Management Profesional (CRCMP) Acreditado

Regulaciones y políticas empresariales

Sistemas de información Hacia una Cultura del Control. Pereira 2011

Curso Online. Network Security Specialist

Seguridad Integral vs Auditoría Integral Carlos Mauricio Fiallos Lozano Auditor de Sistemas

Curso Online. Information Security Manager

Gestión de continuidad del negocio un enfoque resilente basado en el estándar ISO 22301

Gobierno de la Seguridad y el. Modelo del Negocio para la Seguridad de la Información

Palabras Clave Amenazas, Vulnerabilidades, Redes Inalámbricas, Seguridad de la Información, Usuarios SoHo, Análisis y Gestión de Riesgos.

Tecnología en Seguridad Perimetral

INFORME DE RESULTADOS DE LA 1 ENCUESTA DE SEGURIDAD DE LA INFORMACIÓN EN UNIVERSIDADES ECUATORIANAS MIEMBROS DE CEDIA

IX CONGRESO ISACA Costa Rica 2016

Inteligencia en Seguridad de la Información. De Log Management a Respuesta a temprana.

CURSO Ciberseguridad Industrial y Protección de Infraestructuras Críticas

Génesis y evolución de COBIT Un enfoque epistemológico. Álvaro G. Jaikel CISA, CISM, CGEIT, CRISC, COBIT5

SEMINARIO INTERNACIONAL IT & Security Risk Management Abril 16, 17, 18 y 19

Red de Ingeniería de Software y Bases de Datos. Certificaciones en TIC. Ana Berenice Rodríguez Lorenzo Susana Laura Corona Correa

Arquitectura Empresarial

White Paper Gestión Dinámica de Riesgos

Cumpliendo con las Reglas

MAESTRÍA EN INGENIERÍA DE COMPUTACIÓN Y SISTEMAS CON MENCIÓN EN GESTIÓN DE TECNOLOGÍAS DE LA INFORMACIÓN

Jornada sobre Seguridad en Medios de Pago: PCI DSS

Implementando COBIT. Por: Víctor Julio Zúñiga.MBA

TABLA DE CONTENIDOS. Prefacio. Colaboradores

Garantía de cumplimiento de los sistemas de información con la normativa actual

TALLER DE BUENAS PRÁCTICAS PARA LA GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

DOCUMENTO PÚBLICO KUNAK CONSULTING SAC 2014 Mas Información:

Penetration Test Metodologías & Usos

Bootcamp de Certificación 2015

ALAPSI EN COLABORACIÓN CON AUREN Y LA MAESTRÍA EN ADMINISTRACIÓN DEL SERVICIO DE TECNOLOGÍA DE INFORMACIÓN DE LA UIA, ORGANIZAN EL CURSO

El BYOD del Mañana: BYOD 2.0

ANEXO 17 EQUIPO DE TRABAJO FONDO FINANCIERO DE PROYECTOS DE DESARROLLO FONADE PROGRAMA AGENDA DE CONECTIVIDAD. CONVENIO INTERADMINISTRATIVO No.

Algunas estadísticas Problemática actual Gestionando la Inseguridad en las aplicaciones Conclusiones Información adicional Preguntas

100% Laboratorios en Vivo

Global Business Services. Sarbanes-Oxley (SOx), Sec 404 y su impacto en TI

ANEXO TÉCNICO No. 2 SERVICIOS DE SEGURIDAD DE LA INFORMACION PARA LA SOLUCIÓN PROVISTA

SEGURO SOCIAL DE SALUD (ESSALUD) AVISO DE CONVOCATORIA PARA CONTRATACION ADMINISTRATIVA DE SERVICIOS (CAS)

CURSO DE EXPERTO EN GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

Subirse o no subirse a la nube Las notorias nueve amenazas

un enfoque práctico en el entorno universitario

SUITE COBIT 5 Beneficios

EL MUNDO CAMBIA. CADA VEZ MÁS RÁPIDO. LA SEGURIDAD, TAMBIÉN.

IT-GOVERNANCE. Strategy, Management and Measurement

Protecting the IT environment and minimizing external threats. Hernán Figueroa E. Jefe de Informática Cámara de Diputados - Chile

Certified Ethical Hacker. Curso Oficial para Certificación Internacional

Ataques de lado Cliente (Client-Side Attacks)

Seguridad Gestionada. Una nueva forma de combatir las amenazas. Ruperto Garcia-Soto Consultor Preventa 1

Ethical Hacking. Capacitación IT 13/03/2013. Federico

NUESTROS CURSOS. En alianza con CompuSoluciones, nuestro socio tecnológico, COMTEC pone a su disposición un amplio catálogo de cursos de capacitación.

De los #exploits al más m s allá!

LUIS GERARDO RUIZ AGUDELO

Modelos de Madurez de Seguridad de la. seguridad en las organizaciones

Madrid, 19 de Mayo Barcelona, 20 de Mayo

Consultor y Auditor Asociado en ITSM de acuerdo a ISO/IEC 20,000

IBM Tivoli Compliance Insight Manager

PROGRAMA DE ASIGNATURA

Los diez trabajos mejor pagados en seguridad TI (Ten Top-Paying Tech Security Jobs)

Álvaro PayTrue

AUDITORÍA AL GOBIERNO DE TI USANDO COBIT 5. Visión General

CURSO TALLER. Implementador Norma ISO sobre Gestión de Seguridad de la Información

Outsourcing de la Seguridad

Julio Javier Iglesias Pérez

Transcripción:

Master in Business Administration TÓPICOS SELECTOS De Hacker a C-Level Alejandro Hernández nitrousenador@gmail.com http://www.brainoverflow.org Asesor de Seguridad en TI CubilFelino Security Research Labs México, D.F. 24 de Febrero de 2010

AGENDA Hacker mindset Vulnerabilidades / Investigación Pentesting / Evaluación de vulnerabilidades / Espionaje Industrial CVSS Amenazas Certificaciones C-Level mindset CIA Triad Administración de Riesgos Gobierno de TI Estrategia de Defensa en Profundidad Regulaciones, estándares y mejores prácticas Certificaciones Comparación de enfoques (Hacker C-Level)

Punto de partida Hacker

Punto de partida C-Level - CEO (Chief Executive Officer) - CISO (Chief Information Security officer) - CSO (Chief Security Officer)

HACKER MINDSET

Vulnerabilidades / Investigación Vulnerabilidades Stack/Brain/Heap overflows blah blah SQL Injections, blah blah, XSS, blah!... CVSS Investigación R+D En México? De repente todos hacen research en (in)seguridad pero lo que no saben Es que enviar A x1000000 a una aplicación, o poner <script>alert( h4ck3r );</script> en cualquier formulario Web, NO ES HACER INVESTIGACIÓN!!!

Penetration Testing Tiger Teaming Black/Gray/White Box Explotación táctica Evaluación de Vulnerabilidades Espionaje Corporativo Industrial Político

CVSS (Common Vulnerability Scoring System) Fuente: A Complete Guide to the CVSS v2.0

Amenazas Malware Ciber-crimen Spam Ciber-terrorismo Botnets Script-kiddies Phishing Servicios de Inteligencia? Narcotráfico? Y la lista sigue.. Sigue y.. Sigue!!!

Certificaciones Algunos ejemplos: CEH (Certified Ethical Hacker) OPST (OSSTMM Professional Security Tester) GPEN (GIAC Certified Penetration Tester) LPT (Licensed Penetration Tester) CPTS (Certified Penetration Testing Specialist) CEPT (Certified Expert Penetration Tester)

C-LEVEL MINDSET

CIA Triad

Administración de Riesgos Riesgos The CISA Review Manual provides the following definition of risk management: "Risk management is the process of identifying vulnerabilities and threats to the information resources used by an organization in achieving business objectives, and deciding what countermeasures, if any, to take in reducing risk to an acceptable level, based on the value of the information resource to the organization." Operacionales Reputacionales Internos/Externos Naturales Etc. Amenazas Probabilidad Impacto Contramedidas (Controles)

Gobierno de TI The primary goals for Information Technology governance are to assure that the investments in IT generate business value, and mitigate the risks that are associated with IT. This can be done by implementing an organizational structure with well-defined roles for the responsibility of information, business processes, applications, infrastructure, etc. Gobierno Corporativo Cumplimiento P.e. Sarbanes Oxley

Defensa en Profundidad Origen militar En vez de una sola línea de defensa, varias líneas consecutivas Principio / Estrategia

Regulaciones, estándares y mejores prácticas ISO 27001 / 27002 PCI DSS Sarbanes Oxley CobiT ITIL NIST-800 CNBV (CUB)

Certificaciones Algunos ejemplos: CISA (Certified Information Systems Auditor) CISM (Certified Information Security Manager) Lead Auditor ISO 27001 CGEIT (Certified in the Governance of Enterprise IT) CISSP (Certified Information Systems Security Professional) CBCP (Certified Business Continuity Professional)

Finalmente Una (divertida) COMPARACIÓN DE ENFOQUES (Hacker C-level)

Riesgo Hacker Mi sniffer será detectado en modo promiscuo por la flag PROMISC en mi NIC? Y si no completo la ejecución remota de código, y %EIP queda apuntando a una dirección de memoria inválida y el proceso me manda SIGSEGV? Y si el BOFH (Baster Operator From Hell = Sysadmin) está conectado en el momento que ingreso y ve mi $export HISTFILE=/dev/null? Y si troyanizo el servidor Web Apache con mod_rootme y al reiniciar el módulo no es compatible con la versión y es imposible iniciar el demonio httpd nuevamente? Y si al hacer back-connect el Firewall detiene mi conexión y a la ves el NIDS reporta la intrusión? C-Level

Disponibilidad Hacker C-Level

Herramientas de trabajo Hacker C-Level

Lugar de trabajo Hacker C-Level

Lecturas Hacker C-Level

Eventos / Reuniones Hacker C-Level Mexicanos saliendo de DefCon17, haciendo wardriving desde una limosina en Las Vegas, discutiendo si los algoritmos de encripción de la redes WiFi de Casinos/Hoteles son inseguros y si la antena tiene suficiente alcance para romper las contraseñas. hkm sirdarckcat scp nitr0us lightos C-levels, en la sala de juntas del piso 25, discutiendo la estrategia de seguridad de la información a seguir en el próximo periodo, la cual debe estar alienada a los objetivos de la Compañía.

GRACIAS Alejandro Hernández nitrousenador@gmail.com http://www.brainoverflow.org Asesor de Seguridad en TI CubilFelino Security Research Labs México, D.F. 24 de Febrero de 2010