Seguridad Informatica

Curso: Seguridad de Sistemas, Auditoría de Sistemas, Riesgo Tecnológico
Seguridad Informática
Conceptos básicos
Finalidades y fundamentos
Etapas de madurez
La seguridad informática consiste en el aseguramiento de los

recursos de los sistemas de información (en todas y cada una de
sus partes componentes) de una organización, para que sean
utilizados de manera objetiva y que el acceso a la información allí
contenida, así como su modificación, sólo sea posible a las personas
que se encuentren acreditadas y dentro de los límites de su
autorización.
Preparado: Ing. Eladio Antonio Girón Hernández

Curso: Seguridad de Sistemas, Auditoría de Sistemas, Riesgo Tecnológico
Cyber-Seguridad
La Cyber-Seguridad (o Ciber-Seguridad) consiste en la aplicación de
la Seguridad Informática dentro del contexto del Cyber-Espacio (o
Ciber-espacio).
Es decir, la ampliación del contexto de Infraestructura de las

Tecnologías de Información y Comunicaciones (TICs) hacia el ámbito
de la Internet y la World Wide Web (WWW).
Dicha ampliación conlleva retos sumamente importantes para el

Ingeniero en Sistemas, derivado de tendencias como:
 Portabilidad (de las aplicaciones de software)
 Escalabilidad (entre sistemas de distintas generaciones)
 Inter-Operatividad (entre sistemas disímiles o no familiares)
 Inter-Conectividad (entre sistemas no homogéneos).
Tema: Seguridad de Sistemas, Auditoría de Sistemas, Riesgo Tecnológico
Fases de la Seguridad Informática
Fase I: Fase IV:

Auditoría Interna Corporativos
Fases de la
Seguridad
Informática
Fase II: Fase III:

Auditoría Externa Regulatorios
Esquemas de Aseguramiento de Información
Prohibitivo Permisivo
Permitir
SOLAMENTE
lo necesario
Evaluar
Esquema Prohibir
Evaluar
Prohibir Permisivo TODO
TODO lo
necesario
Establecer
elementos de
juicio
Establecer
elementos de
juicio
Evolución histórica
Evolución histórica
Serie ISO-27000 (en la actualidad)
Estructura Piramidal - Dominios de Control

Procesos de Seguridad Informática

Características de Seguridad de los Sistemas
Para que un sistema pueda considerarse como seguro debe cumplir
en alto grado, estas características:
1. Integridad: La información sólo puede ser modificada por quien
está autorizado y de manera controlada.
2. Confidencialidad: La información sólo debe ser legible para los
autorizados.
3. Disponibilidad: Debe estar disponible cuando se necesita.
4. Irrefutabilidad (No repudio): El uso y/o modificación de la
información por parte de un usuario debe ser irrefutable, es
decir, que el usuario no puede negar dicha acción.
Adicionalmente, se manejan las terminologías de Contabilidad
(Bitácora de Operaciones para Trazabilidad) y nivel de
Autorización.

Términos Relacionados de Gestión de Riesgos
1. Activo: recurso del sistema de información o relacionado con éste, necesario
para que la organización funcione correctamente y alcance los objetivos
propuestos.
2. Amenaza: es un evento que puede desencadenar un incidente en la
organización, produciendo daños materiales o pérdidas inmateriales en sus
activos.
3. Impacto: medir la consecuencia al materializarse una amenaza.
4. Riesgo: De manera contextual, es la posibilidad de ocurrencia de un evento,
produciendo daños y/o pérdidas, de forma parcial o total, tanto materiales como
inmateriales, en sus activos. Regularmente se mide en porcentajes de
probabilidad, como primera medida cuantitativa. Existe una forma alternativa, en
la que el riesgo resulta evidenciado, como el resultado de la ocurrencia de un
evento, independientemente del resultado que genera. Esto implica que arriesgar
puede generar resultados positivos o ganancias.
5. Vulnerabilidad: posibilidad de ocurrencia de la materialización de una amenaza
sobre un Activo.
6. Ataque: evento, exitoso o no, que atenta sobre el buen funcionamiento del
sistema.
7. Desastre o Contingencia: interrupción de la capacidad de acceso a información
y procesamiento de la misma a través de computadoras necesarias para la
operación normal de un negocio.

Los activos son los elementos que la seguridad
informática tiene como objetivo proteger. Son tres
elementos que conforman los activos:
1. Información: Es el objeto de mayor valor para una

organización, el objetivo es el resguardo de la
información, independientemente del lugar en donde
se encuentre registrada, en algún medio electrónico o
físico.
2. Equipos que la soportan: Software, hardware,
logística y organización.
3. Usuarios: Individuos que utilizan la estructura
tecnológica y de comunicaciones que manejan la
información.

Vectores:
1. Debilidades: Consideradas como factores internos

dentro del Análisis FODA.
2. Vulnerabilidades: Acciones que alteran el
funcionamiento y comportamiento de un Activo de
Información o componente del mismo.
3. Amenazas: Consideradas como factores externos
dentro del Análisis FODA.
Análisis de Riesgos Informáticos
El análisis de riesgos informáticos es un

proceso que comprende la identificación
de activos informáticos, sus
vulnerabilidades y amenazas a los que se
encuentran expuestos, así como la
probabilidad de ocurrencia y el impacto
de las mismas, a fin de determinar los
controles adecuados para aceptar,
disminuir, transferir o evitar la ocurrencia
del riesgo.

El proceso de análisis de riesgo genera habitualmente un documento
al cual se le conoce como Matriz de Riesgo.
En este documento se muestran los elementos identificados, la

manera en que se relacionan y los cálculos realizados.
Este análisis de riesgo es indispensable para lograr una correcta

administración del riesgo, que hace referencia a la gestión de los
recursos de la organización.

Existen diferentes tipos de riesgos, como el riesgo total y
el riesgo residual, así como también el tratamiento
del riesgo, evaluación del riesgo y gestión del
riesgo, entre otras.
La fórmula para determinar el riesgo total es:

RT (Riesgo Total) =
Probabilidad x Impacto Promedio
A partir de esta fórmula determinaremos su tratamiento y

después de aplicar los controles podremos obtener el
Riesgo Residual.
Proceso de Administración de Riesgo
El proceso de administración de riesgo es un proceso continuo,

dado que es necesario evaluar periódicamente si los riesgos
encontrados y si estos tienen una afectación, hay que hacer
cálculos y estimaciones en las diferentes etapas del riesgo.
La mecánica que se ve inversa en el mayor número de las
organizaciones hoy en día, es en el esfuerzo del día a día. Es
por ello que realizar análisis de riesgo del proyecto y el impacto
futuro, infiere en la estructura de riesgo de la organización.
1. Controlar el riesgo: Fortalecer los controles existentes y/o
agregar nuevos controles.
2. Eliminar el riesgo: Eliminar el activo relacionado y con ello se
elimina el riesgo (práctica menos utilizada).
3. Compartir el riesgo: Mediante acuerdos contractuales, parte del
riesgo se traspasa a un tercero.
4. Aceptar el riesgo: Se determina que el nivel de exposición es
adecuado y por lo tanto se acepta.
Regulaciones y Normas internacionales que tratan el riesgo

Comunicación “A” 4609 del BCRA para entidades Financieras
Requisitos mínimos de gestión, implementación y control de los riesgos
relacionados con tecnología informática y sistemas de información.
1. ISO/IEC 27001: Especifica los requisitos necesarios para establecer, implantar,

mantener y mejorar un Sistema de Gestión de la Seguridad de la Información
(SGSI)
2. ISO/IEC 27005: Esta Norma proporciona directrices para la Gestión del riesgo de
Seguridad de la Información en una Organización. Sin embargo, esta Norma no
proporciona ninguna metodología específica para el análisis y la gestión del
riesgo de la seguridad de la información.
3. Basilea II: Estándar internacional que sirva de referencia a los reguladores
bancarios, con objeto de establecer los requerimientos de capital necesarios,
para asegurar la protección de las entidades frente a los riesgos financieros y
operativos.
4. Ley Sarbanes Oxley (SOX): Impulsada por el gobierno norteamericano como
respuesta a los mega fraudes corporativos que impulsaron Enron, Tyco
International, WorldCom y Peregrine Systems. Es un conjunto de medidas
tendientes a asegurar la efectividad de los controles internos sobre reportes
financieros.
Arquitectura de Seguridad de Información en la Empresa
(EISA – Enterprise Information Security Architecture) es una parte de la

arquitectura de la empresa que se centra en la seguridad de la
información a lo largo de la empresa.
Arquitecturas de Negocio
Sistema de Gestión de la Seguridad de la Información
Un Sistema de Gestión de la seguridad de la Información (SGSI) es,

como el nombre lo sugiere, un conjunto de políticas de
administración de la información. El término es utilizado
principalmente por la ISO/IEC 27001.
Término en Inglés "Information Security Management System" (ISMS).
El concepto clave de un SGSI es para una organización del diseño,

implementación, mantenimiento de un conjunto de procesos
para gestionar eficientemente la accesibilidad de la información,
buscando asegurar la confidencialidad, integridad y
disponibilidad de los activos de información, minimizando a la
vez los riesgos de seguridad de la información.
Círculo de Deming
La ISO/IEC 27001 incorpora el típico "Plan-Do-Check-Act" (PDCA), que
significa "Planificar-Hacer-Controlar-Actuar“, siendo este un enfoque de
mejora continua:
1. Plan (planificar): Es una fase de diseño del SGSI, realizando la

evaluación de riesgos de seguridad de la información y la selección de
controles adecuados.
2. Do (hacer): Es una fase que envuelve la implantación y operación de
los controles.
3. Check (controlar): Es una fase que tiene como objetivo revisar y
evaluar el desempeño (eficiencia y eficacia) del SGSI.
4. Act (actuar): En esta fase se realizan cambios cuando sea necesario
para llevar de vuelta el SGSI a máximo rendimiento.
La mejor definición de SGSI es descrita por la ISO/IEC 27001 e ISO/IEC

27002, relaciona los estándares publicados por la International
Organization for Standardization (ISO) y la International Electrotechnical
Commission (IEC).
Círculo de Deming

CoBIT v.5

CoBIT v.5

CoBIT v.5

ITIL v.3
Otros SGSI
SOGP: Otro SGSI que compite en el mercado es el llamado
"Information Security Forum's Standard of Good Practice"
(SOGP). Este SGSI es más una "best practice" (buenas
prácticas), basado en las experiencias del ISF.
ISM3: Information Security Management Maturity Model ("ISM3")

(conocida como ISM-cubed o ISM3) está construido en
estándares como ITIL, ISO 20000, ISO 9001, CMM, ISO/IEC
27001, e información general de conceptos de seguridad de los
gobiernos ISM3 puede ser usado como plantilla para un ISO
9001 compliant. Mientras que la ISO/IEC 27001 está basada en
controles. ISM3 está basada en proceso e incluye métricas de
proceso.
Otros marcos de trabajo:

PRINCE2: Marco de trabajo de buenas prácticas, relacionadas con la
gestión de proyectos.
Principales atacantes
HACKER: El Hacker es una persona con amplios conocimientos en tecnología, bien

puede ser informática, electrónica o comunicaciones, mantiene
permanentemente actualizado y conoce a fondo todo lo relacionado con
programación y sistemas complejos; es un investigador nato que se inclina ante
todo por conocer lo relacionado con cadenas de datos cifrados y las
posibilidades de acceder a cualquier tipo de "información segura". Su formación
y las habilidades que poseen les da una experticia mayor que les permite
acceder a sistemas de información seguros, sin ser descubiertos, y también les
da la posibilidad de difundir sus conocimientos para que las demás personas se
enteren de cómo es que realmente funciona la tecnología y conozcan las
debilidades de sus propios sistemas de información.
CRACKER: Se denomina así a aquella persona con comportamiento compulsivo, que

alardea de su capacidad para reventar sistemas electrónicos e informáticos. Un
Cracker es un hábil conocedor de programación de Software y Hardware; diseña
y fabrica programas de guerra y hardware para reventar software y
comunicaciones como el teléfono, el correo electrónico o el control de otros
computadores remotos.
LAMMER: A este grupo pertenecen aquellas personas deseosas de alcanzar el nivel de

un hacker pero su poca formación y sus conocimientos les impiden realizar este
sueño. Su trabajo se reduce a ejecutar programas creados por otros, a bajar, en
forma indiscriminada, cualquier tipo de programa publicado en la red.
Principales atacantes
COPYHACKER: Son una nueva generación de falsificadores dedicados al crackeo de

Hardware, específicamente en el sector de tarjetas inteligentes. Su estrategia
radica en establecer amistad con los verdaderos Hackers, para copiarles los
métodos de ruptura y después venderlos los bucaneros. Los Copyhackers se
interesan por poseer conocimientos de tecnología, son aficionados a las revistas
técnicas y a leer todo lo que hay en la red. Su principal motivación es el dinero.
BUCANEROS: Son los comerciantes de la red más no existen en ella; aunque no

poseen ningún tipo de formación en el área de los sistemas, si poseen un amplio
conocimiento en área de los negocios.
PHREAKER: Se caracterizan por poseer vastos conocimientos en el área de telefonía
terrestre y móvil, incluso más que los propios técnicos de las compañías
telefónicas; recientemente con el auge de los celulares, han tenido que ingresar
también al mundo de la informática y del procesamiento de datos.
NEWBIE: Es el típico "novatos" de red, sin proponérselo tropieza con una página de
Hacking y descubre que en ella existen áreas de descarga de buenos programas
de Hackeo, baja todo lo que puede y empieza a trabajar con ellos.
SCRIPT KIDDIE: Denominados también “Skid kiddie”, son simples usuarios de Internet,
sin conocimientos sobre Hack o Crack aunque aficionados a estos temas no los
comprenden realmente, simplemente son internautas que se limitan a recopilar
información de la red y a buscar programas que luego ejecutan sin los más
mínimos conocimientos, infectando en algunos casos de virus a sus propios
equipos.También podrían denominarse los “Pulsa Botones o Clickquiadores“ de
la red.
Consideraciones para Elaborar un Sistema

de Seguridad Integral
Desarrollar un sistema de seguridad

significa: “Planear, organizar,
coordinar, dirigir y controlar las
actividades, relacionadas a mantener y
garantizar la integridad física de los
recursos implicados en la función
informática, así como el resguardo de
los Activos de Información de la
empresa."
Consideraciones para Elaborar un Sistema de Seguridad Integral
Un sistema integral debe contemplar:

Definir elementos administrativos
Definir políticas de seguridad
- A nivel departamental
- A nivel institucional
Organizar y dividir las responsabilidades
Contemplar la seguridad física contra catástrofes (incendios,
terremotos, inundaciones, etc.)
Definir prácticas de seguridad para el personal:
- Plan de emergencia (plan de evacuación, uso de recursos de
emergencia como extinguidores.
Números telefónicos de emergencia
Definir el tipo de pólizas de seguros
Definir elementos técnicos de procedimientos
Consideraciones para Elaborar un Sistema de Seguridad Integral
Un sistema integral debe contemplar (cont):

Definir las necesidades de sistemas de seguridad para:
- Hardware y software
- Flujo de energía
- Cableados locales y externos
Aplicación de los sistemas de seguridad incluyendo datos y
archivos
Planificación de los papeles de los auditores internos y externos
Planificación de programas de desastre y sus pruebas
(simulación)
Planificación de equipos de contingencia con carácter periódico
Control de desechos de los nodos importantes del sistema:
- Política de destrucción de basura copias, fotocopias, etc.
Consideración de las normas ISO 14000
Etapas para Implementar un Sistema de Seguridad
Para dotar de medios necesarios para elaborar su sistema

de seguridad se debe considerar los siguientes
puntos:
1. Sensibilizar a los ejecutivos de la organización en

torno al tema de seguridad.
2. Se debe realizar un diagnóstico de la situación de
riesgo y seguridad de la información en la
organización a nivel software, hardware, recursos
humanos, y ambientales.
3. Elaborar un plan para un programa de seguridad. El
plan debe elaborarse contemplando:
Plan de Seguridad Ideal (o Normativo)
El plan de seguridad debe asegurar la integridad y exactitud de

los datos
Debe permitir identificar la información que es confidencial
Debe contemplar áreas de uso exclusivo
Debe proteger y conservar los activos de desastres provocados
por la mano del hombre y los actos abiertamente hostiles
Debe asegurar la capacidad de la organización para sobrevivir
accidentes
Debe proteger a los empleados contra tentaciones o sospechas
innecesarias
Debe contemplar la administración contra acusaciones por
imprudencia
Consideraciones para con el Personal
Es de gran importancia la elaboración del plan considerando el

personal, pues se debe llevar a una conciencia para obtener una
autoevaluación de su comportamiento con respecto al sistema,
que lleve a la persona a:
Asumir riesgos
Cumplir promesas
Innovar
Para apoyar estos objetivos se debe cumplir los siguientes pasos:

Motivar
Capacitación General
Ética y Cultura
Capacitación de Técnicos
Beneficios de un Sistema de Seguridad
Los beneficios de un sistema de seguridad bien elaborado

son inmediatos, ya que el la organización trabajará
sobre una plataforma confiable, que se refleja en los
siguientes puntos:
Aumento de la productividad.
Aumento de la motivación del personal.
Compromiso con la misión de la compañía.
Mejora de las relaciones laborales.
Ayuda a formar equipos competentes.
Mejora de los climas laborales para los RR.HH.
Gobierno de TI – ISO/38500
La norma ISO/IEC 38500:2008 se publicó en junio de

2008, basándose en la norma australiana
AS8015:2005. Es la primera de una serie sobre el
Gobierno de TI.
Su objetivo es proporcionar un marco de principios para

que la dirección de las organizaciones los utilicen al
evaluar, dirigir y monitorizar el uso de las tecnologías
de la información (TI's).
Está alineada con los principios de gobierno corporativo

recogidos en el "Informe Cadbury" y en los "Principios
de Gobierno Corporativo de la OCDE".
Alcance, aplicación y objetivos
La norma se aplica al gobierno de los procesos

de gestión de las TI's en todo tipo de
organizaciones que utilicen (hoy todas) las
Tecnologías de la Información y
Comunicaciones, facilitando las bases para la
evaluación objetiva del Gobierno de TI.
Dentro de los beneficios de un buen gobierno de TI estaría

la conformidad de la organización con:
Los estándares de seguridad
Legislación de privacidad
Legislación sobre el spam
Legislación sobre prácticas comerciales
Derechos de propiedad intelectual, incluyendo
acuerdos de licencia de software
Regulación medioambiental
Normativa de seguridad y salud laboral
Legislación sobre accesibilidad
Estándares de responsabilidad social
También la búsqueda de un buen rendimiento de la TI mediante
Apropiada implementación y operación de los activos de TI

Clarificación de las responsabilidades y rendición de cuentas en
lograr los objetivos de la organización
Continuidad y sostenibilidad del negocio
Alineamiento de las TI's con las necesidades del negocio
Asignación eficiente de los recursos
Innovación en servicios, mercados y negocios
Buenas prácticas en las relaciones con los interesados
(stakeholders)
Reducción de costes
Materialización efectiva de los beneficios esperados de cada
inversión en TI
Definiciones
La norma incluye 19 definiciones de términos, entre los que destacan:
Gobierno corporativo de TI (corporate governance of IT): El sistema

mediante el cual se dirige y controla el uso actual y futuro de las tecnologías de
la información
Gestión (management): El sistema de controles y procesos requeridos para
lograr los objetivos estratégicos establecidos por la dirección de la organización.
Está sujeta a la guia y monitorización establecidad mediante el gobierno
corporativo.
Interesado (stakeholder): Individuo, grupo u organización que puede afectar,
ser afectado, o percibir que va a ser afectado, por una decisión o una actividad.
Uso de TI (use of IT): Planificación, diseño, desarrollo, despliegue, operación,
gestión y aplicación de TI para cumplir con las necesidades del negocio. Incluye
tanto la demanda como la oferta de servicios de TI por unidades de negocio
internas, unidades especializadas de TI, proveedores externos y "utility services"
(como los que se proveen de software como servicio).
Conducta humana (human behavior): La comprensión de las interacciones
entre personas y otros elementos de un sistema con la intención de asegurar el
bienestar de las personas y el buen rendimiento del sistema. Incluye la cultura,
necesidades y aspiraciones de las personas como individuos y como grupo.
Principios
La norma define seis principios de un buen gobierno corporativo de TI:
Responsabilidad: Todo el mundo debe comprender y aceptar sus

responsabilidades en la oferta o demanda de TI. La responsabilidad sobre una
acción lleva aparejada la autoridad para su realización.
Estrategia: La estrategia de negocio de la organización tiene en cuenta las
capacidades actuales y futuras de las TI. Los planes estratégicos de TI
satisfacen las necesidades actuales y previstas derivadas de la estrategia de
negocio.
Adquisición: Las adquisiciones de TI se hacen por razones válidas, basándose
en un análisis apropiado y continuo, con decisiones claras y transparentes. Hay
un equilibrio adecuado entre beneficios, oportunidades, costes y riesgos tanto a
corto como a largo plazo.
Rendimiento: La TI está dimensionada para dar soporte a la organización,
proporcionando los servicios con la calidad adecuada para cumplir con las
necesidades actuales y futuras.
Conformidad: La función de TI cumple todas las legislaciones y normas
aplicables. Las políticas y prácticas al respecto están claramente definidas,
implementadas y exigidas.
Conducta humana: Las políticas de TI, prácticas y decisiones demuestran
respecto por la conducta humana, incluyendo las necesidades actuales y
emergentes de toda la gente involucrada.
Modelo
La dirección ha de gobernar la TI mediante tres tareas principales:
Evaluar: Examinar y juzgar el uso actual y futuro de las TI,

incluyendo estrategias, propuestas y acuerdos de
aprovisionamiento (internos y externos).
Dirigir: Dirigir la preparación y ejecución de los planes y
políticas, asignando las responsabilidades al efecto. Asegurar la
transición correcta de los proyectos a la producción,
considerando los impactos en la operación, el negocio y la
infraestructura. Impulsar una cultura de buen gobierno de IT en
la organización.
Monitorizar: Mediante sistemas de medición, vigilar el
rendimiento de la TI, asegurando que se ajusta a lo planificado.
Análisis forense informático
Manejo de incidentes de seguridad

Marco normativo para la gestión de
incidentes de seguridad
Metodologías de análisis forense
informático
Experiencias concretas de la gestión de
incidentes de seguridad
Evidencia digital
Auditoría de Sistemas
Examen crítico que se realiza con el fin de evaluar la

eficacia y eficiencia de una sección, un organismo,
una entidad, etc
Los principales objetivos que constituyen a la

Auditoría Informática, son el control de la función
informática, el análisis de la eficiencia de los Sistemas
Informáticos que conforma, la verificación del
cumplimiento de la Normativa general de la empresa
en este ámbito y la revisión de la eficaz gestión de los
recursos económicos, materiales, físicos y humanos,
en el nivel informático indicado.
Auditoría de Sistemas (cont.)
La función auditora debe ser absolutamente

independiente; no tiene carácter ejecutivo, ni son
vinculantes sus conclusiones. Queda a cargo de la
empresa tomar las decisiones pertinentes
La auditoría contiene elementos de análisis, de

verificación y de exposición de debilidades y
disfunciones. Aunque pueden aparecer sugerencias y
planes de acción para eliminar las disfunciones y
debilidades ; estas sugerencias plasmadas en el
Informe final reciben el nombre de Recomendaciones
Auditoría Interna y Auditoría Externa

(consideraciones)
Alcance de la Auditoría Informática (definición crítica)
Características de la Auditoría Informática
Síntomas de Necesidad de una Auditoría Informática:
Descoordinación y desorganización
Mala imagen e insatisfacción de los usuarios
Debilidades económico-financiero
Inseguridad: Evaluación de nivel de riesgos. Seguridad
Lógica, Seguridad Física, Confidencialidad
Tipos y clases de Auditorías
Objetivo fundamental de la auditoría informática:

Operatividad
Revisión de Controles de la Gestión Informática
Las Normas Generales de la Instalación Informática
Los Procedimientos Generales Informáticos
Los Procedimientos Específicos Informáticos
Auditoría Informática de Explotación
Auditoría Informática de Desarrollo de Proyectos o
Aplicaciones
Auditoría Informática de Sistemas
Auditoría Informática de Comunicaciones y Redes
Auditoría de la Seguridad informática
Herramientas y Técnicas para la Auditoría

Informática:
Cuestionarios, Entrevistas, Checklist
Trazas y/o Huellas
Software de Interrogación
Metodología de Trabajo de Auditoría Informática:
Definición de Alcance y Objetivos
Estudio Inicial
Organización
Entorno Operacional
Elaboración del Plan y de los programas de trabajo
Actividades de la Auditoría Informática
Informe Final
 Modelo conceptual de la exposición del informe final
Consideraciones especiales
Leyes y reglamentos de la República de Guatemala,

relacionados con Seguridad Informática, Auditoría de Sistemas y
Riesgo Tecnológico
Metodologías, políticas y normativas generalmente aceptadas.
ISO, ITIL, COBIT, PCI, otros
Cyber-crimen. Organizaciones internacionales que combaten el
Cyber-crimen. IOCE. CERT
Mejores practicas para Seguridad Informática, Auditoría de
Sistemas y Riesgo Tecnológico
Hacking ético? Responsabilidad? Compromiso?
Ámbitos de control físico y lógico. Controles de seguridad física y
lógica. Aseguramiento del Data Center (Centro de Datos)
MalWare
Ingeniería Social
Consideraciones especiales (cont)
Modalidades de Virtualización. Globalización de servicios.

Ambientes homogéneos. Procesos de Hardening y Patching
Cloud Computing, Grid Computing
Estrategias tecnológicas. e-commerce, e-banking. Firma digital.
IT Mobile. Internet de las Cosas (IoT). BYOD, CYOD y COPE
Business Continuity Planning, Disaster Recovery Planning y su
relación con la Seguridad Informática y el Riesgo Tecnológico
Especializaciones:
Seguridad Informática: Maestría en Seguridad Informática
(UMG), CISM, CISSP, CCSP, CEHv6+,
Redes y Telecomunicaciones: Maestría en Redes y
Telecomunicaciones (UMG), Cisco CCNA (Intecap)
Auditoría de Sistemas: Maestría en Auditoría de Sistemas
y Riesgos (UMG), CISA,
Otras: Maestría en Bases de Datos y Data Science
(UMG), CoBIT V, ITIL v.3, gRisk, PMI.
Foro de temas críticos y relevantes
Muchas Gracias!
Apendice I:
Herramientas y artefactos necesarios para realizar las prácticas:
Dispositivos:
- Computadoras con interfaces para conectividad alámbrica y/o inalámbrica,
- Cables de red para la conectividad alámbrica,
- Tabletas y teléfonos celulares con interfaces para conectividad inalámbrica,
- Switch 10/100 baseT, Access Point 2.4Ghz, Mobile HotSpot.
Software (versión más reciente posible):
- VMware WorkStation, Citrix XenServer, Microsoft HyperV, Virtual Box
- Kali – Linux - x64 (con repositorios actualizados),
- Wireshark – Analizador de protocolos de red, Nmap, Advanced IP Scanner
- Acunetix – Web Vulnerability Scanner, MalTEGO Web Scanner
- ClearOS – x64 (firewall en software).
Guías de trabajo (versión más reciente posible):
- OWASP – Blue Books, A Guide to Building Secure Web Applications and Web
Services,
- CISSP – Study Guide, Becoming a CISSP
- CobIT V – For Information Security
- Análisis de Vulnerabilidades - https://cve.mitre.org/ - https://nvd.nist.gov/

Seguridad Informatica

Cargado por

Información del documentohacer clic para expandir la información del documento

Copyright:

Formatos disponibles

Seguridad Informatica

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Seguridad Informatica

Cargado por

Copyright:

Formatos disponibles

Curso: Seguridad de Sistemas, Auditoría de Sistemas, Riesgo Tecnológico

La seguridad informática consiste en el aseguramiento de los

Preparado: Ing. Eladio Antonio Girón Hernández

Es decir, la ampliación del contexto de Infraestructura de las

Dicha ampliación conlleva retos sumamente importantes para el

Fase I: Fase IV:

Fase II: Fase III:

Estructura Piramidal - Dominios de Control

Procesos de Seguridad Informática

Procesos de Seguridad Informática

Procesos de Seguridad Informática

1. Información: Es el objeto de mayor valor para una

Procesos de Seguridad Informática

1. Debilidades: Consideradas como factores internos

Análisis de Riesgos Informáticos

El análisis de riesgos informáticos es un

Análisis de Riesgos Informáticos

En este documento se muestran los elementos identificados, la

Este análisis de riesgo es indispensable para lograr una correcta

Análisis de Riesgos Informáticos

La fórmula para determinar el riesgo total es:

A partir de esta fórmula determinaremos su tratamiento y

Análisis de Riesgos Informáticos

Proceso de Administración de Riesgo

El proceso de administración de riesgo es un proceso continuo,

Análisis de Riesgos Informáticos

Regulaciones y Normas internacionales que tratan el riesgo

1. ISO/IEC 27001: Especifica los requisitos necesarios para establecer, implantar,

Arquitectura de Seguridad de Información en la Empresa

(EISA – Enterprise Information Security Architecture) es una parte de la

Sistema de Gestión de la Seguridad de la Información

Un Sistema de Gestión de la seguridad de la Información (SGSI) es,

Término en Inglés "Information Security Management System" (ISMS).

El concepto clave de un SGSI es para una organización del diseño,

Sistema de Gestión de la Seguridad de la Información

1. Plan (planificar): Es una fase de diseño del SGSI, realizando la

La mejor definición de SGSI es descrita por la ISO/IEC 27001 e ISO/IEC

Sistema de Gestión de la Seguridad de la Información

Sistema de Gestión de la Seguridad de la Información

Sistema de Gestión de la Seguridad de la Información

Sistema de Gestión de la Seguridad de la Información

Sistema de Gestión de la Seguridad de la Información

Sistema de Gestión de la Seguridad de la Información

ISM3: Information Security Management Maturity Model ("ISM3")

Otros marcos de trabajo:

HACKER: El Hacker es una persona con amplios conocimientos en tecnología, bien

CRACKER: Se denomina así a aquella persona con comportamiento compulsivo, que

LAMMER: A este grupo pertenecen aquellas personas deseosas de alcanzar el nivel de

COPYHACKER: Son una nueva generación de falsificadores dedicados al crackeo de

BUCANEROS: Son los comerciantes de la red más no existen en ella; aunque no

Consideraciones para Elaborar un Sistema

Desarrollar un sistema de seguridad

Consideraciones para Elaborar un Sistema de Seguridad Integral

Un sistema integral debe contemplar:

Consideraciones para Elaborar un Sistema de Seguridad Integral

Un sistema integral debe contemplar (cont):

Etapas para Implementar un Sistema de Seguridad

Para dotar de medios necesarios para elaborar su sistema

1. Sensibilizar a los ejecutivos de la organización en