Académique Documents
Professionnel Documents
Culture Documents
Continuidad De Negocio
• Permite planificar la continuidad del negocio frente a desastres
• A la medida de cada organización
• Es una decisión estratégica de la Organización
• Es muy complicado implementarla
• No existe alternativa
• Diseñarla para el peor escenario, pero posibilitada para usarse en casos menos críticos
• Centro alterno de procesamiento remoto, punto clave
• Probar su idoneidad es indispensable
• No todas las interrupciones son desastres
• El mantenimiento es el talón de Aquiles del plan de continuidad de negocio
• Usar herramientas de SW para mantener actualizados los Planes
• Elaborar el proceso de vuelta atrás
• Copia, prueba de restauración y almacenamiento remoto
• Definir personas clave para toma de decisiones
• Cronograma de actividades y prioridades
• Procedimiento para declarar desastres
Objetivos de la Recuperación
RTO – Tiempo de Recuperación
Significa en cuanto tiempo necesita el negocio para que el sistema vuelva a funcionar
Cuanto más rápido quiero q se recupere, más difícil es implementar este plan y es mas caro
RPO – Punto de Recuperación
Cuan actualizada debe estar la data, en el momento q se cae el sistema se debe determinar
cada cuanto tiempo se debe salvar la data (sacar back ups)
Si el RTO y el RPO son cero, más caro es la solución
Medidas adicionales
• HA, alta disponibilidad
• Servicios redundantes
Etapas de la Contingencia
• Etapa de Alerta, es cuando se avisa a todo el personal involucrado a participar en el
plan de contingencia
• Etapa de Transición, es tiempo en se realiza la recuperación el sistema
• Etapa de Recuperación, se recupera el sistema
• Etapa de Vuelta a la Normalidad
Persona Triger, persona q dispara el proceso, q avisa a los demás q se inicia el plan de
contingencia. Este utiliza cualquier tipo de comunicación para avisar al personal de
contingencia.
Checklist de Recuperación
• Procesos considerados (críticos) y su descripción
• Inter relación de los procesos (ingresos y salidas)
• Análisis del impacto en el negocio, de los procesos y perdidas generadas
• Activos involucrados y recursos que pueden apoyar la contingencia
• Consignación de datos de contacto de los responsables de las actividades de
recuperación de los procesos
• Downtime
• Periodos críticos
• Secuencialidad
• Cronograma detallado de actividades de contingencia
• Formatos de informes de pruebas de contingencia considerando las mejoras al Plan
GESTION DE INCIDENTES
Objetivos de Control
• Reporte de Incidencias y puntos débiles
• Reporte de incidencias de seguridad de información
Algo ya afecta a la seguridad de la información
• Reporte de puntos débiles sobre seguridad
Algo q todavía no afecta a la información
• Gestión de Incidencias y mejoras
• Responsabilidad y procedimiento
Cuando se detecta un incidente, se busca la causa
• Aprendizaje sobre las incidencias
Para cada incidencia, se puede usar una solución planteada de una incidencia
anterior
• Recolección de evidencias
Para más adelante, poder ver los detalles de los incidentes
Respuesta a incidentes
• Establecer un equipo de personas multidisciplinarias, xq cada vez q se dé un problema,
varias pueden resolver el problema
• Establecer un flujo de reportes, debe existir manera en q se consolide estos incidentes,
xq se puede reportar el mismo incidente por diferentes lugares
• Misión: Proporcionar soporte, realizar seguimiento, y organizar la coordinación entre
áreas de la organización para la resolución de incidentes de seguridad
La Entrada es el Reporte de incidencias, establecer canales establecidos para comunicar
cualquier incidente o evento
El Desarrollo es el Plan de acción, es para:
parar el efecto negativo que produce el incidente,
Y luego una acción para evitar q esto vuelva a suceder
La Salida son los Formatos y registros, que se debe registrar el registro reportado, de cómo se
trató ese incidente.
Algunas incidencias
Phishing
• Enviar una comunicación suplantando la identidad de una organización a fin de obtener
información confidencial del destinatario
• Se usa un mail que contiene un link que direcciona al destinatario del mensaje, a una
página web que se ve igual al site de la organización suplantada, solicitando la
actualización de claves de acceso, tarjetas de crédito, cuentas de banco, documento de
identificación, etc.
• El Pharming, es una nueva variante. Se recibe un mail aparentemente vacío que, al
abrirlo, activa un programa que modifica el acceso al DNS para redirigir los accesos del
usuario
Scam
• Un mensaje electrónico que indica para el destinatario, la recepción de un beneficio
económico obtenido de un tercero
• En algunos casos el remitente de la comunicación, simula ser un socio y la obtención
del dinero es parte un complot fraudulento
• Cartas Nigerianas: Pedido u oferta de alguien de un país extranjero, referido a una
gran suma de dinero, que por una u otra razón no pueden salir legalmente del país, a
no ser que se transfieran a una cuenta extranjera, solicitando usar nuestra cuenta
bancaria para traspasar fondos. A cambio de la ayuda, ofrece un porcentaje del total
Llamada inocente
• Un e-mail que le confirma una compra en Internet, cargada en su cuenta corriente,
que recibirían en un breve plazo de tiempo. Indica además, un teléfono que si tenía
alguna duda llame al teléfono que aparecía al final del mensaje
• El número en cuestión permitía una llamada internacional, donde respondía una
grabación que solicitaba unos momentos de espera a la víctima de la estafa
• No había ninguna empresa al otro lado de la línea, ni compra efectuada en Internet, ni
mercancía alguna que recibir
• Objetivo: asustar al inocente para que llamara al teléfono del timador, que cobraría
por cada segundo que las víctimas pasaran con el auricular pegado a la oreja
Medidas para evitar incidentes
• Mantener actualizaciones
• Seguridad física
• Mantener personal especializado en seguridad de información
• Gestión de Incidentes
• Usar y configurar correctamente los elementos de seguridad perimétrica
• Revisiones periódicas
• Mantenerse informado sobre ataques
• Capacitación continua a los usuarios
Crackeador de claves:
Software Específico para lo que se quiere crackear
Adivina
Métodos:
1. Pruebas triviales: usar contraseñas obvias (simples y tontos) como: el
mismo nombre de usuario, 12345, etc.
2. Diccionario: cuando la clave no es una palabra trivial, se empieza a usar
una serie de palabras (posibles contraseñas) del diccionario de las lenguas
q se desee usar. Lo hacen en minutos.
3. Fuerza bruta: cuando falla el diccionario, se meter cadenas de texto hasta
que calce si o si con la contraseña. Se demora mucho xq combina todos los
caracteres: letras en mayúsculas y en minúsculas, números y caracteres
especiales.
Certificados Digitales
Requieren de una infraestructura PKI
Pueden guardarse en cualquier dispositivo de almacenamiento
Sirve para firmar, cifrar, autenticar y el no repudio
Términos relacionados: CA, RA, hash, llave pública y privada, smart card,
estandar X.509, vigencia del certificado
Objetivos de Control
• Procedimientos y responsabilidades de operación
• Gestión de servicios externos
• Planificación y aceptación del sistema
• Protección contra SW malicioso
• Gestión de respaldo y recuperación
• Gestión de seguridad de redes
• Utilización de los medios de información
• Intercambio de información
• Servicios de comercio electrónico
• Monitoreo
Backup y Restore
• Procedimiento de back establecido
• Debe ser congruente con el Plan de Contingencia
• El backup es preferible hacerlo de manera local. Si es remoto, usar puertos específicos
y de ser posible con algún tipo de cifrado
• Se debe probar la recuperación y debe estar dentro del tiempo máximo requerido
Revisión de Vulnerabilidades
• Scanning de puertos y búsqueda de vulnerabilidades.
• Hacking ético
• Por especialistas, de confianza.
• Interno - externo
• Configuración de los elementos de seguridad
• Auditorias a procedimientos
• Plan para superar vulnerabilidades encontradas
Seguridad Wi-Fi
• Estándar IEEE 802.11x
• Mayor flexibilidad, menor costo
• Buenas practicas
• Service Set Identifier (SSID) sin datos que identifiquen a la organización y sin broadcast
• Control de acceso por MAC address
• WPA (1 y 2). WEP con key largo
• Fuerte autenticación con PKI, RADIUS, Kerberos
• Regular la potencia de transmisión
• Establecer una configuración estándar segura para AP
Buenas practicas
Establecer un Comité de Seguridad de Proyectos a fin de evaluar todo
desarrollo nuevo y definir requerimientos y especificaciones de seguridad en la
etapa de inicial.
Plan de Implementación de sistemas con responsabilidades, puntos de marcha
atrás y contingencia.
Gestión del Cambio
Clave ó Contraseña
No mostrar las claves en pantalla, cuando son ingresadas
Almacenar en forma separada las claves y los datos del sistema
Almacenar las contraseñas en forma cifrada utilizando un algoritmo de cifrado
Modificar las contraseñas predeterminadas por el vendedor, una vez instalado
el software
Registrar intentos de logging
Opción de cambio de clave
Limitar el número de intentos de loggin no exitosos e implementar una
demora obligatoria antes de permitir otros intentos de identificación
Calidad de contraseña
Imponer reglas de calidad de contraseña
No permitir claves en blanco
Clave diferente a nombre de cuenta
Extensión mínima y máxima
Evitar la reutilización de una clave, guardando historial
Obligatoriedad de dígitos o caracteres especiales
No permitir caracteres consecutivos del teclado
Etc.
Protecciones:
Pruebas funcionales y de QA, exitosas
Metodología de desarrollo con definición de controles de seguridad
Control y versionamiento de fuentes
Uso de SW licenciado
Usar antivirus para ubicar SW malicioso
Tipos de prueba
Unitaria
Funcional
Regresión
Integración
Stress
Calidad de código
Aceptación
Control de Pases a Producción
Seguir un calendario y restringir al mínimo las excepciones
Elaborar normativa y procedimientos
No instalar compiladores en ambientes productivos
Trabajar con archivos fuente y generar ejecutables
Un solo pase a la vez
Nada pasa a producción sin pruebas exitosas y aprobadas
Mantener registro detallado