Antecedentes
- En cualquier sociedad, un pequeño porcentaje de la gente es maliciosa. Se estima que Internet tiene 50 millones de usuarios. Aún si el porcentaje de usuarios maliciosos es menor al 1% de esta sociedad, el número de usuarios maliciosos es tan grande que debería ser preocupante.
- Cualquier computadora conectada es suceptible de ser explotada
- Password, cuentas bancarias, cardex de calificaciones, etc.
- McNealy: “Para que lo sepan, la Internet no es segura”.
- Entramos a una etapa llamada “Sociedad de la Información”.
Definición
- Hacker
- Individuo que disfruta explorando los sistemas y programas, y que sabe como sacar el máximo provecho.
- Experto o que es especialmente hábil en el manejo de un sistema.
- Cracker
- Individuo que rompe la seguridad de un sistema, se adentra en el tereno de lo ilegal
- Individio que se aprovecha de los conocimientos para hacer daño
- Hacker que responde al llamado del lado obscuro de la fuerza
Problemática
- Creencia de que con una herramienta (ej: firewall) se tiene seguridad
- Falta de una cultura informática
- Desarrollo, Administración, Uso
- Revisión de bitácoras
- Programación segura
- El 50% de los ataques son internos
- Organización, Sistema de cómputo
- Seguridad = Burocracia
- Poner piedras al trabajo, dificultar las operaciones
- Ataques “invisibles” o “virtuales”
- No se le dá la importancia que se debe
- Cerraduras en casa, candado para automóvil
- Falta de apoyo de las autoridades
- En las organizaciones, Estatales y Federales
- Mito de dar a conocer las especificaciones de las TI's.
- Es abrise y mostrar las debilidades
- Imagen organizacional – mercadotecnia negativa
- Ignorancia de documentos oficiales que regulen las Tecnologías de Información (TI)
- Inexistencia, no son accesibles
- No hay reglamentos
- Miedo a lo desconocido
- Actividades de los hackers
- Nuevas tecnologías
- Falta de entendimiento y trato a los talentos
- Nerd, Cerebrito, Matado
- Hacker manifiesto
Estadística de incidentes
Obscurantismo
- Desconocimiento
- Reglamentos, políticas de seguridad
- Parches, actualizaciones
- Recomendaciones
- Estándares
- Capricho de alguien
- Privilegios especiales
- El obstaculizar el trabajo de alguien
- Misión y visión de la organización
- Análisis de riesgo
- Fotografía del estado actual
- Los puntos débiles
- Elementos sensibles / críticos
- Conocer las capacidades de la tecnología
- Internet-2 (ataque a los DNS root-server)
- Modelo de seguridad
- ¿Qué queremos proteger?
- ¿Contra qué lo queremos proteger?
- ¿Durante cuanto tiempo queremos protegerlo?
- ¿Cuanto estámos dispuestos a invertir (monetario, humano, tecnológico)?
- Desarrollo de las políticas de seguridad
- Seguridad física
- Seguridad lógica
- Planes de contingencia
- Área de seguridad
- A quien reportar incidentes
- Donde obtener mayor información
- Publicación de las políticas
- Selección de herramientas adecuadas
- Software propietario
- Software libre
- Software “casero”
- Revisiones periódicas
- Ciclo de vida de la seguridad
- Grado de robustez
- Todo lo que no está explicitamente permitido está prohibido
- Todo lo que no está explicitamente prohibido está permitido
Conclusiones
- La seguridad no debe ser tomado como un capricho de alguien
- La seguridad es un problema de todos
- Usuarios, Administradores, Desarrolladores, Legisladores, Abogados
- Todos debemos ser parte de la solución
- Estar al día
- Parches / vulnerabilidades
- Desarrollos tecnológicos
- Puntos que debe tener alguien dedicado a la seguridad
- Conocimientos de Legislación Informática
- Conocimientos generales profundos de cómputo
- Habilidad de Hacker
- Mentalidad de Cracker
0 comentarios:
Publicar un comentario