SEGURIDAD INFORMÁTICA

La Información Como Activo Valioso

Temas a tratar:

• Seguridad Informática vs Seguridad de la Información

• Pilares de la Seguridad
• Pautas de Defensa
• Herramientas de Gestión e ISO’s
• Caso de Estudio: CH. Carhuaquero
 Superación y desarrollo
de un país

TECNOLOGÍA

Información = Activo

Seguridad informática: segundo plano

Amenaza Amenaza
Interna Externa

Riesgos
Dato curioso:

Puesto: 78 de 193 países

Índice de madurez: 1,8 (En escala del 1 al 5)
Consecuencia: Poca inversión – Gobierno Central
Causa: No tenemos una economía fuertemente digitalizada que por ende
necesita de menos inversión, por la protección que maneja, a comparación
De Brazil u otros países de Sudamérica.
Inversión: 132 millones (Datos 2016) a comparación de Brazil: 1431 millones o
México: 1041 millones Según BCG (Consultoría estratégica global)
 ¿Qué es Seguridad Informática?

Esta disciplina se encargaría de las implementaciones técnicas de la protección de la

información, el despliegue de las tecnologías antivirus, firewalls, detección de intrusos,
detección de anomalías, correlación de eventos, atención de incidentes, entre otros elementos,
que establecen la forma de actuar y asegurar las situaciones de fallas parciales o totales,
cuando la información es el activo que se encuentra en riesgo.

[Jeimy J. Cano, Ph.D., CFE.]

 La seguridad informáticaNO es un problema exclusivamente de
las computadoras.
 Las computadoras y las redes son el principal campo de batalla.
 Se debe de proteger aquello que tenga un valor para nosotros
¿Qué es Seguridad de la Información?

• es la disciplina que nos habla de los riesgos, de las amenazas, de

los análisis de escenarios, de las buenas prácticas y esquemas
normativos, que nos exigen niveles de aseguramiento de procesos
y tecnologías para elevar el nivel de confianza en la creación, uso,
almacenamiento, transmisión, recuperación y disposición final de
la información.
[Jeimy J. Cano, Ph.D., CFE.]
 Versus

ANÁLISIS DE NORMATIVAS PLAN DIRECTOR

IT Security RIESGOS (Normative
/Best Practice) (Procedures)
(Risk Analysis)

DISCIPLINA

TÉCNICAS DE EVENTOS
CONFIGURACIÓN
Information PROTECCIÓN AUDITORÍAS
SEGURA
Security (Firewall, (Incident
(Hardening) Management)
Antivirus, IDS)
Riesgos
Organizacionales,
SEGURIDAD DE LA
Operacionales y
INFORMACIÓN
físicos:
- Ausencia de
normas y
políticas Vulnerabilidad y
SEGURIDAD amenazas:
- Errores, actos INFORMÁTICA
deliberados - Virus
- Control - Spam
insuficiente de - Contraseñas
cambios - Ataque DoS
- Comportamiento - Etc.
personal, etc.
Confidenci
alidad

“la una no puede "ir" sin la otra”

Seguridad de la Seguridad
Integridad
Información Informática

Encargada de:
Medidas técnicas
Establecer las pautas a seguir
para la protección de la y Operacionales
Disponibili
dad información
• “Las organizaciones gastan millones de dólares en firewalls y
dispositivos de seguridad, pero tiran el dinero porque ninguna de
esas medidas cubre el eslabón más débil de la cadena de
seguridad: la gente que usa y administra los equipos”

Kevin Mitnick
Tres principios:

• Permite limitar • Garantiza que • Asegura que la

Integridad

Disponibilidad
el acceso a los la información información
Confidencialidad

datos de modo sea correcta, está accesible

que sólo las sin errores y en un momento
personas (o que no pueda preciso y para
recursos) ser modificada las personas que
autorizados sin permiso la necesitan
puedan acceder
a la
información
INTEGRIDAD.

La información sólo puede ser modificada por

quien está autorizado y de manera controlada.

Amenaza:
Modificación: alguien no autorizado
consigue acceso a la información y puede
modificarla.

Ejemplos : cambios de valores en un

fichero de datos, modificación del
contenido de un mensaje
CONFIDENCIALIDAD:

La información sólo debe ser legible para los autorizados.

Amenaza:
Intercepción: alguien no autorizado (persona,
programa u ordenador) consigue acceder a cualquier
parte de la información.

Ejemplos : intervenciones de las líneas para capturar

datos , copia ilícita de ficheros o programas…
DISPONIBILIDAD:

La información debe estar disponible cuando se necesita.

Amenaza:
Interrupción: si se inutiliza o destruye
alguna parte del sistema o de la
información.

Ejemplos: destrucción de un elemento

hardware (un disco duro), ruptura de una
línea de comunicación ...
Podríamos decir que la Seguridad
Informática (IT Security) es la parte
operativa de la Seguridad, es decir,
las medidas técnicas que aseguran la
Seguridad de la Información.
PAUTAS DE DEFENSA

RECOMENDACIONES:
RECOMENDACIONES:
• Hacer claves de una longitud mínima de 8 caracteres. Los
Las actualizaciones del sistema en su mayoría de veces son mensuales.
caracteres vuelven a la contraseña más robusta.
Sugerencia: Aceptar las actualizaciones y reiniciar el equipo.
• Realizar combinaciones alfanuméricas. Estas son más
Las actualizaciones del sistema, son mejoras que se realizan al núcleo del
difíciles de descubrir, teniendo en cuenta las diversas
sistema operativo y a diversas aplicaciones que se ejecutan en este sistema,
posibilidades de combinación de los caracteres.
con la finalidad de mantener su funcionamiento óptimo y reparar fallas, errores
• Utilizar distintas claves para cada servicio. De esta manera,
y vulnerabilidades que se pueden presentar en nuestros sistemas.
si la contraseña es revelada, será más difícil para el
Estas actualizaciones, son conocidas también como parches o como boletines de
atacante acceder al resto de las plataformas del usuario.
seguridad (en el caso de Windows) y, por lo general, están disponibles para ser
• Evitar palabras comunes.
instaladas en nuestros PC de manera gratuita.
• Cambiar periódicamente las claves. Esto aumenta el nivel
Este proceso de actualización puede ser manual o automático, dependiendo de
de seguridad de las credenciales
los gustos de personalización del sistema por parte del usuario
RECOMENDACIONES:
• Las actualizaciones del sistema en su mayoría de veces
son mensuales. Sugerencia: Aceptar las actualizaciones y
reiniciar el equipo.
• Las actualizaciones del sistema, son mejoras que se
realizan al núcleo del sistema operativo y a diversas
aplicaciones que se ejecutan en este sistema, con la
finalidad de mantener su funcionamiento óptimo y
reparar fallas, errores y vulnerabilidades que se pueden
presentar en nuestros sistemas.
• Estas actualizaciones, son conocidas también como
parches o como boletines de seguridad (en el caso de
Windows) y, por lo general, están disponibles para ser
instaladas en nuestros PC de manera gratuita.
• Este proceso de actualización puede ser manual o
automático, dependiendo de los gustos de
personalización del sistema por parte del usuario
RECOMENDACIONES:
• Las actualizaciones del sistema en su mayoría de veces son
mensuales. Sugerencia: Aceptar las actualizaciones y
reiniciar el equipo.
• Las actualizaciones del sistema, son mejoras que se
realizan al núcleo del sistema operativo y a diversas
aplicaciones que se ejecutan en este sistema, con la
finalidad de mantener su funcionamiento óptimo y reparar
fallas, errores y vulnerabilidades que se pueden presentar
en nuestros sistemas.
• Estas actualizaciones, son conocidas también como parches
o como boletines de seguridad (en el caso de Windows) y,
por lo general, están disponibles para ser instaladas en
nuestros PC de manera gratuita.
• Este proceso de actualización puede ser manual o
automático, dependiendo de los gustos de personalización
del sistema por parte del usuario
RECOMENDACIONES:
• En el caso de que vayamos a almacenar información
sensible o confidencial en un dispositivo externo,
debemos utilizar siempre discos duros y USB’s
corporativos debidamente protegidos y con las
medidas de seguridad adecuadas según lo establecido
en la política de uso de dispositivos de
almacenamiento externo corporativa, almacenándolos
en lugares seguros e informando al departamento de
informática, de cualquier incidente que pueda
ocurrir, como puede ser el robo o pérdida del
dispositivo con este tipo de información.
RECOMENDACIONES:
El Spam o Correo electrónico no solicitado puede definirse
como e-mails no deseados, habitualmente de tipo
publicitario, que se envían aleatoriamente en grandes
cantidades de usuarios.
El spam también se usa para enviar diferentes tipos de virus o
intentos de estafa (phising) discutidos en diversos puntos de
este documento.
• HTTP: Hyper Text Transport Protocol:
Definir y estandarizar la síntesis de las
transacciones que se llevan a cabo entre los
distintos equipos que conforman una red
• tipo “petición-respuesta – Cliente Servidor
• HTTPS: Hypertext Transfer Protocol Secure:
HTTPS y SSL/TLS (protocolos criptográficos)
Medios de Ataque más Comunes

E-mail corporativo
Equipos Móviles

Redes Sociales Dispositivos Móbiles

Ataque a Equipos móviles

• El Perú tiene 30 millones de conexiones móviles y

8.4 son conexiones 3G o 4G, lo que significa que el
acceso a internet se realiza mayoritariamente a
través de celulares. 1

• Los sistemas operativos Android sufren el 98 % de

los ataques. 2

• Unos 50 millones de celulares tipo smartphone

equipados con el sistema operativo Android
quedaron vulnerables a ataques informáticos
debido a la falla de seguridad "Heartbleed“ en Abril
2014.

1: Fuente: GSMA 2: Fuente: Kapersky Lab 3: Chitika Analytics, para el diario inglés The Guardian
FORMAS DE ATAQUES INFORMÁTICOS

Insiders • Empleados disconformes o personas externas con acceso a

sistemas dentro de la empresa

Outsiders • Personas que atacan de afuera de la ubicación física de la

organización

Usuario • Causa del mayor problema.

• Porque no le importa, no se da cuenta o a propósito.

Un intruso • Cracker, Defacer, Script kidde, etc.

• Robo, Incendio, etc.

Un siniestro • Una mala manipulación o una malintención derivan a la
pérdida del material o de los archivos
 Personal • Las pujas de poder que llevan a
interno de disociaciones entre los sectores y
soluciones incompatibles para la
Sistemas seguridad informática

• Se trata de desviar a los usuarios de sus

paginas de Log legítimas por falsas, así,
Phishing wwww.hotmail.com a
http://145.15573.484/login. La diferencia
es que una reenvía lo escrito.
ESTUDIO: CENTRAL HIDROELÉCTRICA
CARHUAQUERO
CONTRASEÑA IGUAL PARA TODOS LOS SERVICIOS:
USO DE ANTIVIRUS PARA SEGURIDAD DE LA INFORMACIÓN:
COMPUTADORA BLOQUEADA CUANDO REALIZAN TRABAJOS DE CAMPO:
 Medios de Ataque más Comunes

 Sospeche de cualquier correo electrónico solicitando información personal.

 No acceda a enlaces, ni abra archivos adjuntos a un correo electrónico
enviado por un remitente desconocido.
 Asegúrese de que los mensajes recibidos son fiables. Desconfíe de
promociones, tarjetas electrónicas y mensajes de ofertas enviadas por
correo electrónico.
 Haga un hábito de escribir la dirección web de su banco u otra institución
financiera, no dependa de enlaces en correos electrónicos.
 No llame a números de teléfono que figuran en correos electrónicos
sospechosos o no solicitados. Utilice una fuente confiable para verificar la
información.

¿Qué hago si recibo un correo electrónico

sospechoso?
•No abras los adjuntos o hagas clic en los links ,
•Reporta el caso a la Mesa de Ayuda
•Elimina el correo electrónico