Añadir a la recogida (s) Añadir a salvo
  1. Ninguna Categoria
Subido por Richard Valencia - Almacen General

PC1 seguridad informatica-3

Anuncio 
PC1
CURSO: SEGURIDAD INFORMATICA
1.-Explique con un ejemplo de cada uno la confidencialidad, integridad y disponibilidad de la
información.
La confidencialidad, integridad y disponibilidad, conocidas como la tríada CID, es una guía para la
seguridad informática de una organización.
La confidencialidad garantiza la privacidad de los datos mediante la restricción del acceso con el
cifrado de la autenticación.
La integridad garantiza que la información sea precisa y confiable.
La disponibilidad garantiza que la información esté disponible a las personas autorizadas.
Confidencialidad
Otro término para la confidencialidad sería privacidad. Las políticas de la empresa deben restringir
el acceso a la información al personal autorizado y garantizar que solo las personas autorizadas
verán estos datos. Los datos se pueden dividir en secciones según el nivel de seguridad o
sensibilidad de la información. Por ejemplo, un desarrollador de aplicaciones no debe tener acceso
a la información personal de todos los empleados. Además, los empleados deben recibir
capacitación para comprender las mejores prácticas para resguardar datos confidenciales, para
protegerse y proteger a la empresa contra ataques. Entre los métodos para garantizar la
confidencialidad se incluyen el cifrado de datos, nombre de usuario y contraseña, la autenticación
de dos factores y la minimización de la exposición de la información confidencial.
Integridad
La integridad es precisión, consistencia y confiabilidad de los datos durante su ciclo de vida. Los
datos deben permanecer inalterados durante la transferencia y no deben ser modificados por
entidades no autorizadas. Los permisos de archivos y el control de acceso de usuarios pueden
impedir el acceso no autorizado. El control de versión se puede utilizar para evitar cambios
accidentales por parte de usuarios autorizados. Las copias de respaldo deben estar disponibles
para restaurar los datos dañados, y la suma de comprobación del hash se puede utilizar para
verificar la integridad de los datos durante la transferencia.
La suma de comprobación se utiliza para verificar la integridad de los archivos, o cadenas de
caracteres, luego de que se hayan transferido desde un dispositivo a otro a través de su red local
o de Internet. Las sumas de comprobación se calculan con funciones de hash. Algunas de las sumas
de comprobación comunes son MD5, SHA-1, SHA-256 y SHA-512. Una función de hash utiliza un
algoritmo matemático para transformar los datos en un valor de longitud fija que representa los
datos. Por ejemplo, cuando un periódico difunde una información cuya fuente no es correcta, podemos
decir que se mantiene la integridad de la información ya que se difunde por medio impreso, pero sin
embargo, al ser la fuente de esa información errónea no se está manteniendo la integridad del origen, ya
que la fuente no es correcta.
Disponibilidad
Mantener los equipos, realizar reparaciones de hardware, mantener los sistemas operativos y el
software actualizados, así como crear respaldos, garantiza la disponibilidad de la red y los datos a
los usuarios autorizados. Deben existir planes para recuperarse rápidamente ante desastres
naturales o provocados por el hombre. Los equipos o software de seguridad, como los firewalls,
lo protegen contra el tiempo de inactividad debido a los ataques, como la denegación de servicio
(DoS). La denegación de servicio se produce cuando un atacante intenta agotar los recursos de
manera tal que los servicios no estén disponibles para los usuarios.
Ejemplos:
•
•
•
•
•
•
•
•
Copias de seguridad de la información (backups de datos y configuraciones).
Realización de imágenes de discos.
Implementaciones de sistemas RAID de discos.
Implementaciones de sistemas en clúster.
Configuración de conmutación por error de unos sistemas a otros.
Balanceo de carga entre máquinas/sistemas.
Redundancia en las líneas eléctricas y de datos.
Coubicación de las instalaciones interna y externamente.
2.- Dentro de la metodología de ataque consta de 5 pasos, explique cuáles son y desarrolle con un
ejemplo ilustrativo.
1. Reconocimiento: Como su nombre lo indica, esta fase consiste en la recopilación de información
del entorno, con el fin de buscar un objetivo potencial, el cual puede ir desde la búsqueda en
Internet sobre una persona o empresa por ejemplo (Ingeniería Social), hasta el poder hacer un
sniffing en la red objetivo para comprender cómo está estructurada la red, los rangos de
direccionamiento de red que manejan, Hostname, servidores y otros servicios disponibles
(Impresoras, conmutadores, etc.)
Ejemplo:
Un ciberdelincuente inyecta un de código malicioso en una página web de pago.
Introduces los datos de tu tarjeta de crédito en dicha página para finalizar una compra. El
script inyectado por el ciberdelincuente registra esta información en secreto y se la envía
a él.
El ciberdelincuente utiliza entonces la información de tu tarjeta de crédito para robar tu
dinero, o los vende en la dark web, para que luego los puedan usar otros
ciberdelincuentes o cualquier otra clase de delincuente.
2. Escaneo e investigación: Una vez teniendo claro el objetivo, el atacante procede a escanear y a
examinar toda la información recopilada, con el fin de encontrar huecos de seguridad en los
equipos objetivos, ya que puede obtener detalles como el sistema operativo que usa el equipo,
los puertos de comunicación abiertos, cuentas de usuarios y vulnerabilidades en los aplicativos de
los equipos.
Ejemplo:
El escaneo de puertos es una de las técnicas de reconocimiento más populares que utilizan
los atacantes para descubrir los servicios expuestos a posibles ataques. Todas las máquinas
conectadas a una red de área local (LAN) o Internet ejecutan muchos servicios que
escuchan en puertos conocidos y no tan conocidos. Un escaneo de puertos ayuda al
atacante a encontrar qué puertos están disponibles (es decir, qué servicio podría estar
enumerando un puerto).
Esencialmente, un escaneo de puertos consiste en enviar un mensaje a cada puerto, uno
a uno. El tipo de respuesta recibida indica si el puerto está a la escucha y, por lo tanto,
puede probarse más detalladamente para detectar debilidad.
Puertos conocidos (0 - 1023)
Puertos registrados (1024 - 49151)
Puertos dinámicos y / o privados (49152 - 65535)
3. Acceso: Aquí es donde empieza la magia, porque el atacante empieza a explotar cada
vulnerabilidad encontrada en los sistemas, con el fin de tener el acceso a dicho equipo o de
empezar a causar estragos, ya sea causando una saturación en los recursos de los equipos de
cómputo y por ende generando un ataque DoS (Denial of Service), Secuestro de sesión (Hijacking),
ataques de fuerza bruta para poder adivinar o romper las credenciales de acceso al sistema, una
vez teniendo acceso al sistema objetivo, el atacante puede prácticamente explorar todo.
Ejemplo:
Donde las víctimas son engañadas por un correo electrónico o un enlace malintencionado,
o manipuladas psicológicamente donde se aprovecha su inclinación natural a confiar. La
ingeniería social es la manipulación psicológica de las víctimas.
4. Manteniendo el acceso: La prioridad en esta etapa es la de mantener abierta la puerta para
poder entrar y salir cuando guste, permitiéndole utilizar el equipo comprometido para seguir
explorando otros sistemas en la red o para lanzar nuevos ataques desde la misma red interna. En
muchas ocasiones se utilizan rootkits para poder ocultar los procesos, sesiones y las conexiones
que mantiene hacia el servidor maestro.
Ejemplo:
Usuarios de Zoom: una campaña de phishing dirigida a los empleados afectó al menos a
50.000 usuarios. Los ingenieros sociales utilizaron el miedo al despido para animar a los
empleados a hacer clic en un enlace para reunirse con RRHH a través de Zoom. Al hacer
clic en el enlace, el empleado accedía a un sitio de inicio de sesión de Zoom falso diseñado
para robar contraseñas.
5. No dejar rastro: En esta última fase, el atacante buscará el borrar toda la evidencia que pueda
ser utilizada para rastrear su actividad, con el fin de no ser detectado por los administradores de
red al instalar software o en las modificaciones que haya ejecutado, de esta manera puede seguir
entrando y saliendo del sistema comprometido sin mayor problema y evitar ser atrapado.
La mayoría de las veces hacen uso de una técnica llamada Esteganografía, para que de este modo
no pueda ser percibida su existencia en la red, ocultando información sobre algún otro elemento.
Ejemplo:
Como podemos ver, es de vital importancia conocer este tipo de fases de ataque, ya que con esto
podemos darnos una idea del tipo de soluciones que debemos implementar como parte de
nuestra estrategia de ciberseguridad, buscando siempre tener esa visibilidad de lo que acontece
en nuestra red interna y en las comunicaciones que se hacen hacia el exterior.
3.-Cuales son los principales estándares ISO en seguridad de la información explique cuál es el objetivo
de cada uno.
Las "Normas ISO/IEC27000" es el conjunto de estándares de seguridad. Lo que buscan es dar un
marco teórico para la gestión de la seguridad. De hecho, en algunas de las normas encontrarás la
definición de algunos conceptos relacionados. Por ejemplo,
la "Norma ISO 27001" menciona que la seguridad de la información debe basarse en la
integridad, disponibilidad y confidencialidad de datos. Cuando encontramos conceptos como
estos, en la misma norma se suele dar la explicación del concepto. Por ejemplo, la "Integridad"
se define como el mantenimiento de datos y de la información durante diversos métodos de los
procesos. La "Disponibilidad" la define como el acceso y uso de la información y sistemas que
sirven para tratar y manipular la información. La confidencialidad se define como la acción de
presentar la información únicamente a los usuarios y procesos autorizados para hacer uso de
ella.
En este caso, estamos hablando de la "Norma 27000". Así que algo muy común es que la normas
27001, 27002 y las que siguen en número tienen relación, se apoyan o complementan. Por
ejemplo, mencionaremos algunas.
La "Norma 27000" contiene todos los conceptos y vocabularios necesarios para comprender las
normas.
La "Norma 27001" habla de las certificaciones disponibles para las empresas, organizaciones e
instituciones.
La "Norma 27002" habla de las buenas prácticas para la administración o gestión de seguridad
de la información.
La "Norma 27003" muestra algunas directrices para la implementación de un sistema de gestión
de seguridad de la información.
La "Norma 27004" muestra las métricas para la gestión de seguridad de la información. En otras
palabras, nos muestra como realizar algunas mediciones para conocer ciertos factores que serán
importantes en un sistema de seguridad de la información.
La "Norma 27005" es una de las normas más importantes ya que nos habla sobre la gestión de
riesgo en la seguridad de la información. Encontraremos lineamientos importantes, técnicas de
evaluación de riesgo y recomendaciones que debemos seguir.
La "Norma 27006" es la que especifica los requisitos de acreditación de entidades de auditoría y
certificación de sistemas de gestión de seguridad de la información.
También debes considerar que las normas siempre se actualizan. Por ejemplo, no es lo mismo la
"Norma 27001" del año 2005 que la versión de esta norma del año 2003. Así que esto es algo que
cambia, pero no tan rápido, ya que las normas son mucha documentación y términos que tienen que
aceptarse para plasmarse en un documento.
4.- ¿Qué controles de seguridad implementarías en una organización o en la organización en la que
laboras?
Toda empresa cuenta con información relevante que debe resguardar frente a distintas
amenazas, tanto internas como externas, para garantizar el crecimiento del negocio. Para ello,
las compañías pueden apoyarse en un Sistema de Gestión de Seguridad de la Información (SGSI),
mediante el cual logran proteger los datos imprescindibles.
El control que se debería implementar en una empresa es, Proteger los activos de la
información, estos pueden estar disponibles para usuarios específicos que necesiten dicha
información. - Dar un mayor control sobre conexión de dispositivos externos como: USB, CD,
ETC.- La política de seguridad de la información que se refiere a establecer una
documentación que tome en cuenta el riesgo de compartir información con personas ajenas al
entorno. - Criptográfica, se debe contar con un proceso de encriptado y desencriptado de la
información que si esta sustraída no pueda ser visualizada si no tiene el implemento requerido. El mantenimiento de sistemas se busca que los equipos no fallen en los momentos que más se
les necesita para así poder encontrar un punto de quiebre que necesite alguna mejora, por ello
es importante un buen, mantenimiento. - Seguridad física y ambiental, esta es una de las
maneras en que se puede obtener información del mismo equipo para ello se debe
asegurar el perímetro correspondiente que permita alejar intrusos.
5.- Haga un comentario de la NTP ISO 27001:2014 y la Ley de Delito Informático, Ley N° 30096 – Ley
N° 30171.
La norma NTPISO/IEC 27001:2014. Un SGSI es el marco para garantizar la seguridad de la
información, en función del tratamiento de unos niveles de riesgo obtenidos como consecuencia de
considerar todos los posibles efectos que pueden ocurrir a causa de las vulnerabilidades de los activos
que poseen información valiosa de la entidad y que podrían ser atacadas en función a las amenazas
existentes.
Ley de Delito Informático, Ley N° 30096 En el año 2013 se publicó en nuestro país la Ley Nº
30096, “Ley de Delitos Informáticos”, que tuvo por objeto prevenir y sancionar las conductas ilícitas que
afectan los sistemas y datos informáticos, la indemnidad y libertad sexuales, la intimidad y el secreto de
las comunicaciones, el patrimonio y la fe pública, en los cuales el delincuente utiliza la tecnología actual
para cometer dichos ilícitos.
Ley N.º 30171 de los delitos informáticos contra el patrimonio en el Perú” la cual tiene como
objetivos específicos; analizar la eficacia del ordenamiento jurídico y el tratamiento normativo respecto
a sus modalidades, de los delitos informáticos contra el patrimonio, así mismo tiene como objetivo
general, analizar la intervención del Estado para tratar los delitos informáticos contra el patrimonio.
Uno de los problemas más relevantes y significativos son las actividades delictivas cometidas a través de
los sistemas informáticos, las cuales han sido debidamente reguladas por nuestro legislador nacional en
la Ley 30096, Ley de Delitos Informáticos, modificada por la Ley 30171. El presente artículo abordará los
delitos de fraude informático y suplantación de identidad, que son los más frecuentes en esta nueva
convivencia socioeconómica.
6.- Identifica las relaciones existentes entre la ISO 27001, COBIT e ITIL, contemplando las normativas
existentes.
Las normas ISO, que corresponde al acrónimo International Standard Organization. Son normas y
estándares internacionales diseñados para ser aplicadas en el desarrollo de productos y servicios
que deben usar las empresas para mejorar su eficiencia y rentabilidad económica.
La Organización Internacional de Estandarización (ISO), a través de las normas recogidas en ISO /
IEC 27000, establece una implementación efectiva de la seguridad de la información empresarial
desarrolladas en las normas ISO 27001 / ISO 27002.
La norma permitirá a la dirección de la empresa tener la visión necesaria para definir el alcance y
ámbito de aplicación de la norma, así como las políticas y medidas a implantar, integrando este
sistema en la metodología de mejora continua, común para todas las normas ISO.
COBIT: Son un conjunto de herramientas orientadas a garantizar el control y seguimiento de
gobernabilidad de Sistemas de Información a largo plazo a través de auditorías. COBIT
corresponde a las siglas en inglés para Control Objectives for Information and related
Technology – Objetivos de control para la información y tecnologías relacionadas por ello
compila mejores prácticas levantadas por expertos en TI provenientes de diversos sectores como
industria y servicios.
COBIT respalda todo el proceso de información de la empresa. Compila y organiza desde la
creación de la información hasta su disposición final para garantizar un control de calidad
preciso.
ITIL: Es una colección de mejores prácticas para la administración efectiva de los Sistemas de
Información (SI).
En un principio se diseñó para mejorar los servicios de TI del sector público; pero gracias a su
eficiencia cada vez más está siendo mundialmente implementado por el sector privado, un
sistema centrado en la red y que luego abarcará la integración de TI con la alineación de TI ya
que se busca una medición que vaya orientada al valor.
➢
➢
➢
➢
➢
➢
Introducción a la Gestión de Servicio
Estrategia de Servicio
Diseño de Servicio
Servicio de Transición (Gestión del Cambio)
Operación de Servicio
Servicio continuo (Mejora Continua de Servicios)
Documentos relacionados
Responsabilidad social : materias fundamentales
Responsabilidad social : materias fundamentales
ENCUESTA IMPLEMENTACIÓN DE LA NORMA ISO 45001
ENCUESTA IMPLEMENTACIÓN DE LA NORMA ISO 45001
Los Tecnológicos que conforman el grupo D, establecen el
Los Tecnológicos que conforman el grupo D, establecen el
NORMA ISO 10003 - AVA5 - NICOLAS SILVA
NORMA ISO 10003 - AVA5 - NICOLAS SILVA
QMI – A Division of CSA Group
QMI – A Division of CSA Group
Contenedores de polietileno inyectado de alta
Contenedores de polietileno inyectado de alta
Cambios FSSC 22000
Cambios FSSC 22000
Documento872511 872511
Documento872511 872511
Soudal - Garantía de calidad
Soudal - Garantía de calidad
Descargar
Anuncio
Anuncio