3. Seguridad de la Informació n Lic. Raúl Ayala
Algunos datos
Miércoles 24 de setiembre de 2003 Año VII N° 2733
12:20 | A PARTIR DEL 14 DE OCTUBRE
Microsoft cierra la mayoría
de sus chats INFORMATICA
Quiere combatir la pornografía y los mensajes El objetivo del virus “Bugbear” no es colapsar
basura ("spam"). La medida comprende a 28 computadoras sino robar datos bancarios
países de América Latina, Europa, Africa y
Los expertos confirmaron que envía la información que captura a miles de
Asia. Sólo mantendrá el Messenger.
direcciones de Internet. Además, también puede desactivar los sistemas de seguridad
Microsoft, el gigante de software de la PC, destruir sus archivos y descomponer impresoras.
estadounidense, anunció que cerrará sus
foros de chat gratuitos en 28 países.
INTERNET
Nadie logra controlar la epidemia: el “correo
basura” invade las casillas de todo el mundo
Apenas 150 “spammers” norteamericanos son los responsables del 90 por ciento
de los mensajes no deseados que atestan las computadoras de todo el mundo.
Todavía no hay leyes para limitar su impacto económico.
5. Seguridad de la Informació n Lic. Raúl Ayala
Algunos datos
23-06-2003
Despido
Rechazan demanda de empleada por uso indebido de Internet
Buenos Aires, 23 de junio (Télam).- El juez del trabajo Jorge Finizzola consideró justo el despido
de una empleada que usó las computadoras de la empresa para recibir y enviar correos
electrónicos ajenos a su tarea y de contenido pornográfico, indicaron fuentes tribunalicias.
El magistrado rechazó la demanda iniciada por una empleada, que fue identificada como R.I.V, ya
que las fuentes mantuvieron en reserva su identidad, contra la firma Vestiditos S.A. e impuso a la
reclamante las costas del juicio.
NEGOCIOS
Una nueva fiebre “enferma” a las empresas de todo el
mundo: la seguridad de la información
La gestión de las políticas de seguridad de la información obsesiona a miles de empresas
de todo el mundo. Ahora, ya no se conforman con controlar los datos circulantes; también
quieren ahorrar millones.
Por Daniela Blanco. Especial para Clarín.com.
6. Seguridad de la Informació n Lic. Raúl Ayala
Algunos datos
Martes 16 de setiembre de 2003 Año VII N° 2724
ASESINATO EN PALERMO: LA POLICIA LO DETUVO EL DOMINGO CUANDO
FUE A VOTAR
Acusan a un joven de un crimen
luego de un rastreo informático
Verónica Tomini tenía 24 años y era gerenta de una
empresa de marketing. Los investigadores detectaron
que horas antes del crimen había chateado con el
sospechoso para arreglar un encuentro.
Martín Sassone. .
El martes 19 de agosto, Verónica Tomini estaba en su trabajo
y recibió un mensaje en su computadora: "Bebota, tengo ganas
de verte". Ella respondió: "Yo también Cachorro. Nos vemos
esta noche en casa". Así, rastreando los mensajes de chat de
la víctima, los investigadores llegaron al principal sospechoso
del crimen: un joven de 24 años que fue detenido el domingo
cuando fue a votar.
9. Seguridad de la Informació n Lic. Raúl Ayala
Algunas premisas
No existe la “verdad absoluta” en Seguridad
Informática.
No es posible eliminar todos los riesgos.
No se puede ser especialista en todos los temas.
La Dirección está convencida de que la Seguridad
Informática no hace al negocio de la compañía.
Cada vez los riesgos y el impacto en los negocios son
mayores.
No se puede dejar de hacer algo en este tema.
10. Seguridad de la Informació n Lic. Raúl Ayala
Algunas realidades
En mi compañía ya tenemos seguridad porque ...
... implementamos un firewall.
... contratamos una persona para el área.
... en la última auditoría de sistemas no me
sacaron observaciones importantes.
... ya escribí las políticas.
... hice un penetration testing y ya arreglamos
todo.
11. Seguridad de la Informació n Lic. Raúl Ayala
Algunos datos
En general todos coinciden en:
El 80% de los incidentes/fraudes/ataques son
efectuados por personal interno
Fuentes:
The Computer Security Institute
Cooperative Association for Internet Data Analysis (CAIDA)
CERT
SANS
12. Seguridad de la Informació n Lic. Raúl Ayala
Algunos datos
Según una encuesta del Departamento de Defensa de
USA:
Sobre aprox 9000 computadores atacados,
7,900 fueron dañados.
400 detectaron el ataque.
Sólo 19 informaron el ataque.
13. Seguridad de la Informació n Lic. Raúl Ayala
Qué Información proteger
• en formato electrónico / magnético / óptico
• en formato impreso
• en el conocimiento de las personas
14. Seguridad de la Informació n Lic. Raúl Ayala
Principales riesgos y su impacto en los
negocios
15. Seguridad de la Informació n Lic. Raúl Ayala
Principales riesgos Captura de PC desde el exterior
Mails “anónimos” con información crítica o con agresiones Robo de información
Spamming Violación de e-mails Destrucción de equipamiento
Violación de contraseñas Intercepción y modificación de e-mails
Virus
Violación de la privacidad de los empleados
Incumplimiento de leyes y regulaciones
empleados deshonestos
Ingeniería social
Fraudes informáticos Programas “bomba”
Propiedad de la Información
Interrupción de los servicios Destrucción de soportes documentales
Acceso clandestino a redes Robo o extravío de notebooks
Software ilegal
Acceso indebido a documentos impresos
Indisponibilidad de información clave
Intercepción de comunicaciones
Falsificación de información
para terceros Agujeros de seguridad de redes conectadas
16. Seguridad de la Informació n Lic. Raúl Ayala
Principales riesgos
Instalaciones default Escalamiento de privilegios
Password cracking
Puertos vulnerables abiertos
Man in the middle Exploits
Servicios de log inexistentes o que no son chequeados
Denegación de servicio
Últimos parches no instalados Backups inexistentes
Port scanning
Desactualización
Keylogging
Replay attack
17. Seguridad de la Informació n Lic. Raúl Ayala
Principales riesgos y el impacto en los negocios
En estos tipos de problemas es difícil:
• Darse cuenta que pasan, hasta que pasan.
• Poder cuantificarlos económicamente, por ejemplo
¿cuánto le cuesta a la compañía 4 horas sin sistemas?
• Poder vincular directamente sus efectos sobre los
resultados de la compañía.
18. Seguridad de la Informació n Lic. Raúl Ayala
Principales riesgos y el impacto en los negocios
Se puede estar preparado para que ocurran lo menos posible:
• sin grandes inversiones en software
• sin mucha estructura de personal
Tan solo:
• ordenando la Gestión de Seguridad
• parametrizando la seguridad propia de los sistemas
• utilizando herramientas licenciadas y libres en la web
19. Seguridad de la Informació n Lic. Raúl Ayala
Normas aplicables
20. Seguridad de la Informació n Lic. Raúl Ayala
Normas aplicables
Entre los distintos organismos relacionados comercial y/o
institucionalmente con los temas de Seguridad de la Información,
podemos encontrar los siguientes:
Information Systems and Audit Control Association - ISACA:
COBIT
British Standards Institute: BS
International Standards Organization: Normas ISO
Departamento de Defensa de USA: Orange Book
ITSEC – Information Technology Security Evaluation Criteria: White
Book
Sans Institute
21. Seguridad de la Informació n Lic. Raúl Ayala
Dudas e inquietudes consultar al
Dpto de Soporte Tecnológico
FIN