Jos

Letelier Van Der Mer

Jose.letelier.v@gmail.com

Presentacin
Ingeniero Civil Informtico UdeC
Magister en Administracin Empresas Utalca
Certied Information System Auditor -ISACA
Certied Information Security Manager

ISACA
Certied Lead Auditor BS25999- BSI
Ocial de Seguridad de la Informacin
Oriencoop

Forma de Trabajar
Curso PRACTICO- Terico
Metodologa
Clases con Exposiciones
Laboratorios Prcticos
Test y Talleres en Clases

Forma de Trabajar
3 Unidades

Seguridad de la Informacin
Plan de Continuidad de Negocio
Auditoria Informtica

Por qu la estudiamos
Seguridad de la Informacin

Por qu la estudiamos
Seguridad de la Informacin

Por qu la estudiamos
Seguridad de la Informacin

Por qu la estudiamos
Seguridad de la Informacin

Como se Obtuvo esta foto?

Por qu la estudiamos
Seguridad de la Informacin
Como se Obtuvo esta foto?
Ingenieria Social
Christopher Chaney de Florida, utiliza las redes

sociales para recabar informacin y nalmente

consigue hacerse con la contrasea del correo de
Scarlett. A partir de ah, se hace con nuevos datos
no solo de Johansson sino de otras famosas, hasta
que llega a la informacin contenida en su
telfono mvil

Por qu la estudiamos
Seguridad de la Informacin
Ataque RSA
Correo con virus ataca vulnerabilidad en Flash

Player ataque Zero Day

Luego se toma el control de los equipos
Robo de Archivos entre ellos el de RSA SecureID
Se utiiza para el ingreso seguro

Por qu la estudiamos
Seguridad de la Informacin
Que le paso a SONY (Play Station) y

Nintendo este ao en seguridad?

Por qu la estudiamos
Seguridad de la Informacin
Ataque SQLi

12

Por qu la estudiamos
Seguridad de la Informacin
xss

13

Por qu la estudiamos
Seguridad de la Informacin
Moviles

14

Por qu la estudiamos
Seguridad de la Informacin
SPAM

15

Por qu la estudiamos
Seguridad de la Informacin

16

17

18

Primera Noticia
Qu ataques de seguridad se generaron para los

juegos Olimpicos

Que es seguridad de la
informacin
La seguridad informtica consiste en

asegurar que los activos de informacin de

una organizacin sean utilizados de la
manera condencial, integra y con una
disponibilidad adecuada.

Definiciones
Integridad
Caractersticas de la informacin segn la cual slo los entes autorizados

pueden modicarla o eliminarla.

Contrario:Modicacin

Condencialidad
Caractersticas de la informacin segn la cual slo debe ser conocida

por los entes autorizados para ello.

Contrario: Revelacin

Disponibilidad
Caractersticas de la informacin segn la cual los entes autorizados

pueden tener acceso oportuno para ello.

Contrario: Destruccin

Definiciones
Apliquemos
Qu se afecta con una Virus?
Qu se afecta con un corte de Luz?
Qu se afecta con Robo de Informacin?
Qu se afecta con Borrado de Datos?
Que se afecta con ataque a la Wi?
Robo de un notebook?
La clonacion de tarjetas de temuco que afect?

Definiciones
Activo de Informacin
Esa la informacin o los elementos que la contiene

o permiten su procesamiento.

Al igual que otro activo es importante y por tanto debe

ser protegida de la amenazas que pueden afectar al
negocio.

Activos de Informacin
Infraestructura

Informacin

Hardware

Servicios

Software

Personas

Definiciones
Apliquemos Pensando en la U de Talca
Qu es una Base de Datos?
Qu es un Data Center?
Qu es un Profesor?
Qu es Movistar?
Qu es la pgina www.utalca.cl
Qu es el Laboratorio?
Qu es la Biblioteca?
Qu son los Guardias?

A donde queremos llegar

Plan de Seguridad
Proteger nuestra organizacin
Denir Objetivos

Qu vamos a proteger
De quin vamos a proteger
Denir Riesgos
Medidas y Acciones
Responsabilidades (Grupo de Trabajos)

Normativas
ISO 17799:2005 Seguridad de la Informacin
ISO 27002 Controles de SI
ISO 27003: Implementacin de ISMS
ISO 27004: Metricas de Seguridad
ISO 27005: Administracin de Riesgos
ISO 27031: BCP

Familia 27001

Mejoramiento Continuio DE
ISO 27001

Definiciones
Riesgo

Riesgo es la contingencia de un dao. A su vez

contingencia signica que el dao en cualquier

momento puede materializarse o no hacerlo nunca
Afecta a la Integridad, Condencialidad y
Disponibilidad de la Informacin
Riesgo= f(A, V, I) o Riesgo = Impacto x Probalidad
Ocurrencia
A:Probabilidad de Amenaza
I: Impacto de la Contingencia
V: Vulnerabilidad expuesta
B: Beta de Real mitigacin

Seguridad al hueso!!

Anlisis de Riesgos
Conceptos
Amenazas:

Algo que puede producir dao

De origen externos

Vulnerabilidad

Cuan expuesto estoy a ser afectado

De origen interno

Ej: una gripe para un enfermo de SIDA??

Ej2: Que me roben porque dejo las llaves bajo el

macetero

Anlisis de Riesgo

Anlisis de Riesgo

Anlisis de Riesgo
Riesgo
Probabilidad que una amenaza afecte a mi

vulnerabilidad
Si hay controles
Riesgo residual
Lo trato
Lo acepto

Analisis de Riesgo
Riesgo
Cuantiquemos

Impacto del Riesgo= Amenaza que Afecta

vulnerabilidad
Frecuencia del Riesgo= Cuantas veces se da
Riesgo total = (Impacto * frecuencia) Ponderacin
*Control

Anlisis de Riesgo
Anlisis de un Notebook
Amenazas?
Vulnerabilidades?
Controles?
Pongmosle nota

Amenazas de Software
Infeccin por Virus Informticos y/o Programas

Maliciosos (virus, troyanos, gusanos, etc.)

Parches y/o Actualizaciones Defectuosas o Inoportunas.
Crakers, Hackers, Script Kiddies.
Software Daado.
Carencia de Soporte para el Software.
Carencia de Licencias.
Perdida de Versiones de Cdigos Fuentes (cuando
corresponda)

Amenazas de Personas
Enfermedades/ Accidentes
Muerte
Ausentismo
Desastre Natural
Adicciones
Huelgas externas
Fuga de personal
Incendios
Secuestros

Amenazas de Servicios
Quiebra de proveedores
Catstrofes que afecten a los proveedores
Interrupciones causadas por terceros

Amenazas de Hardware
Virus
Problemas elctricos
Acciones mal ejecutadas por parte de lo

operadores
Sabotaje
Incendios
Catstrofes naturales
Robos de externos
Guerras, atentados

Vulnerabilidades
Anlisis de un Notebook
Amenazas?
Vulnerabilidades?
Controles?
Pongmosle nota

Vulnerabilidades
cve.mitre.org
www.cvedetails.com
Y hasta como los explotamos
www.exploit-db.com

Metodologias
RISK FISH

Attribute

Agent

Impact

productivity
Confidentiality
Threat Agent (internal, external, partner)
response
Possession/Control
replacement
Integrity

Motiviation

fines/judgments

Authenticity

competitive advantage

Issue:

Capability Description

Availability
reputation
Utility
increased operational expenses

(description)

Type (Server, User Device, People, Offline, etc.)

Ownership/location/management

Categories (Hacking, Malware, Social, Misuse)

Types of Action Categories

specific controls
prevention

Information/Transaction, Amount

Vector(s)/Path(s)/etc.

control capability

detection

response

Asset

Action

Controls

This work is licensed under the Creative Commons Attribution-NonCommercial-ShareAlike 3.0 Unported License. To view a copy of this license, visit http://creativecommons.org/licenses/by-nc-sa/3.0/.
For more information about VERIS: http://veriscommunity.net/ For risk community interaction and the home of the RiskFish: https://www.societyinforisk.org/

Metodologias
Busquemos una metodologa para este proceso

ISO27005
ISO 31001
Risk It
Octave
NIST SP-800-30
AS/NSZ 4360

Anlisis de Riesgo 27005

Gestionemos riesgos
Amenazas?
Vulnerabilidades?
Controles?
Pongmosle nota

Anlisis de Riesgo

Anlisis de Riesgo

Anlisis de Riesgo

Evaluacin del Riesgo

Ambito

Anlisis

Estimacin

50

Evaluacin de Riesgo :
Ambito
Corte
Tratamiento
Denicin
Prioridades
Acotar mbito

Evaluacion de Riesgos: Anlisis

Impacto

Amenazas

Vulnerabilidades

Frecuencias

Evaluacin de Riesgo:
Estimacin
Valor del
Riesgo

Cuantitativo
Estadstico

Cualitativo
Liker

Anlisis de Riesgo

Anlisis de Riesgo

Evaluacin de Riesgo

Evaluacin de Riesgos:
Escenarios

Evaluacin de Riesgos:
Priorizacin

Evaluacin de Riesgos:
Priorizacin

Evaluacin de Riesgos:
Priorizacin

Caso de Estudio en Clases:

Empresa de Cobranza

Cobradores
Telefonicos

Cobradores
Terreno
TI

Administrativos

61

Caso de Estudio en Clases:

Empresa de Cobranza
Desarrollemos la Metodologia
Ambito
Anlisis
Evaluacin de Riesgos
Seleccin de Riesgos

62