Scribd Logo
Upload

Welcome to Scribd!

  • Presentación - Clase 3 - v2

    Uploaded by

    Jorge Ormeño
    7 views42 pages
    Ciberseguridad

    Original Title

    Presentación - Clase 3_v2

    Copyright

    © © All Rights Reserved

    Available Formats

    PDF, TXT or read online from Scribd

    Did you find this document useful?

    Is this content inappropriate?

    Report this Document
    Ciberseguridad

    Copyright:

    © All Rights Reserved
    Download as PDF, TXT or read online from Scribd
    Flag for inappropriate content
    7 views42 pages

    Presentación - Clase 3 - v2

    Uploaded by

    Jorge Ormeño
    Ciberseguridad

    Copyright:

    © All Rights Reserved
    Download as PDF, TXT or read online from Scribd
    Flag for inappropriate content
    of 42

    Yván Lévano Casas

    1
    2
    Tú ves el muro,
    pero los
    ciberdelincuentes
    ven los agujeros !!!

    3
    ¿Su base de Datos está Protegida
    De Manos criminales ?

    ¿Los activos de su empresa


    Han sido inventariados y
    Tasados?

    4
    Amenaza
    Causa potencial de un Incidente no deseado, que puede resultar en
    daño a un sistema u organización.

    Fuente: ISO 27005 5


    Tipos de Amenaza

    Fuente: PECB 6
    Amenaza

    Password cracking Escalamiento de privilegios

    Puertos vulnerables abiertos Exploits


    Man in the middle
    Violación de la privacidad de los empleados

    Servicios de log inexistentes o que no son chequeados

    Denegación de servicio Backups inexistentes


    Destrucción de equipamiento
    Últimos parches no instalados
    Instalaciones default
    Desactualización Keylogging Port scanning

    Hacking de Centrales Telefónicas


    7
    Amenaza
    Spamming
    Violación de contraseñas
    Captura de PC desde el exterior

    Virus Incumplimiento de leyes y regulaciones


    empleados deshonestos
    Ingeniería social
    Mails anónimos con agresiones
    Programas “bomba, troyanos”
    Interrupción de los servicios Destrucción de soportes documentales
    Acceso clandestino a redes Robo o extravío de notebooks, palms

    Acceso indebido a documentos impresos


    Robo de información
    Indisponibilidad de información clave
    Intercepción de comunicaciones voz y
    Falsificación de información wireless
    para terceros Agujeros de seguridad de redes conectadas

    8
    Vulnerabilidad
    La debilidad de un activo o de un control que puede ser explotado por
    una amenaza.

    Fuente: ISO 27005 9


    Tipos de Vulnerabilidades

    Fuente: PECB 10
    Relación Vulnerabilidad - Amenaza

    11
    Amenaza a los activos personales

    Fuente: ISO 27005 12


    Amenaza

    Fuente: ISO 27005 13


    Agente de Amenaza

    Fuente: PECB 14
    Amenaza - Vulnerabilidad
    Activos
    Vulnerabilidades

    Amenaza

    Activos
    Amenaza
    Amenaza Control

    15
    Riesgo

    Fuente: PECB 16
    RIESGO
    exposición o proximidad
    a un daño o peligro

    AMENAZA + VULNERABILIDAD = Seguridad de la


    Información

    acción o evento que condición de debilidad,


    puede atentar contra algo inseguridad o flaqueza

    IMPACTO
    resultado o consecuencia
    de una acción crítica

    17
    ISO 27005

    Fuente: PECB 18
    Riesgo

    Fuente: PECB 19
    Consideraciones para la Gestión del Riesgo

    Fuente: PECB 20
    Consecuencia / Impacto

    Fuente: PECB 21
    Amenaza, Vulnerabilidad y Consecuencia

    Fuente: ISO 27005 22


    Impacto - Factores a Considerar

    Fuente: PECB 23
    Probabilidad

    Fuente: ISO 27005 24


    Nivel de Riesgo

    Fuente: ISO 27005 25


    Escalas de Probabilidad

    26
    Escalas de Impacto
    Niveles Criterio
    Muy Alto Económico: Causa daño económico mayor a S/. 300 000.00
    Clientes: Afecta al 90% de Clientes

    Alto Económico: Causa daño económico mayor a S/. 200 000.00 y


    menor a S/. 300 000.00
    Clientes: Afecta al 70% de Clientes
    Moderado Económico: Causa daño económico mayor a S/. 100 000.00 y
    menos a S/. 200 000.00
    Clientes: Afecta al 50% de Clientes
    Bajo Económico: Causa daño económico mayor a S/. 30 000.00 y
    menor a S/. 100 000.00
    Clientes: Afecta al 20% de Clientes
    Muy Bajo Económico: Causa daño económico menor a S/. 30 000.00
    Clientes: Afecta al 5% de Clientes

    27
    Matriz de Riesgo

    28
    Control

    Medida para gestionar los riesgos.


    Incluye política, procedimientos,
    directrices, medidas tecnológicas,
    entre otros.

    29
    Tipos de Controles

    Técnico Administrativo

    Gestión Legal

    Fuente: PECB 30
    Clasificación de Controles

    Fuente: PECB 31
    ¿Son efectivos todos los controles?
    Control: Vincular la huella digital del tarjetahabiente a una tarjeta
    de crédito, de tal manera que al momento de realizar una compra
    solo se tiene que colocar el dedo sobre el lector y listo.

    ¿Efectivo?
    Los hackers colocaron una lámina en los dispositivos y estas
    capturaban las huellas digitales al momento que realizaban la
    compra. Con esa captura permitía realizar compras en cualquier
    dispositivo con esta tecnología que contaba con bajos estándares

    AUMENTO DE FRAUDES!!!!
    32
    Tratamiento del Riesgo

    Fuente: PECB 33
    Modificar el Riesgo

    Fuente: ISO 27005 34


    Retención del Riesgo

    Fuente: ISO 27005 35


    Evitar el Riesgo

    Fuente: ISO 27005 36


    Compartir el Riesgo

    Fuente: ISO 27005 37


    Método – Compartir el Riesgo

    Fuente: ISO 27005 38


    ¿Negación del Riesgo?

    Fuente: ISACA 39
    Riesgo Residual

    Fuente: ISO 27005 40


    Aceptación de Riesgo Residual

    Fuente: ISO 27005 41


    GRACIAS
    Yvan Lévano Casas
    yvan.levano@gmail.com

    42

    You might also like