Presentación de Sparta en KaliLinux

¿Qué es la ingeniería social?

La definición de ingeniería social es el arte de sacar información a alguien sin que la persona que está siendo “atacada” se dé cuenta.

La verdad es que viéndolo lo que pone esta web:

http://cursohacker.es/ingenieria-social-informatica

Tiene razón en que “una cadena se rompe siempre por el eslabón más débil“. En este caso es el ser humano.

Quiero destacar a que ámbitos puede afectar en lo que se refiere a la seguridad:

  • Ingeniería social aplicada a empresas.
  • Ingeniería social aplicada al ámbito privado.
  • Ingeniería social aplicada a obtener contraseñas de correo.
  • Ingeniería social aplicada a intrusión en equipos.

Las redes sociales, sobre todo si tienes un perfil público pueden ser una mina de información para alguien que busca la pieza que le falta para poder poner en marcha su estrategia de ataque. Ten en cuenta esta posibilidad en tu día a día y plantéate siempre la información que estás dando y a quién.

Según Digital Guardian, el 97% de los ataques informáticos no aprovechan una falla en el software, sino que usan técnicas de ingeniería social para conseguir las credenciales necesarias para vulnerar la seguridad informática.” http://www.enter.co/guias/lleva-tu-negocio-a-internet/ingenieria-social

Otra muy buena definición en el anterior enlace es:

“La ingeniería social es la práctica de manipular psicológicamente a las personas para que compartan información confidencial o hagan acciones inseguras”.

Incluso hoy en día, con todas las soluciones de seguridad que hay en el mercado, el usuario es el único que puede protegerse. El hilo que conduce a las credenciales de nuestra cuenta o los datos de nuestra tarjeta de crédito es realmente fino. Por este motivo, es necesario conocer los trucos que utilizan los estafadores, tanto técnicos como psicológicos, para evitar cualquier ataque de estas características.

Información valiosa donde aprender los métodos para engañar a las víctimas. Uno de estos portales es SocialEngineer.org http://www.social-engineer.org , plataforma que proporciona datos realmente útiles como los fundamentos teóricos, el funcionamiento de cada ataque y ejemplos que aclaran cada uno de los conceptos.

El crimen está en constante evolución y debemos ser precavidos.

“La policía no puede proteger a los consumidores. Los usuarios deberían ser más conscientes y recibir una mayor educación sobre el robo de identidad. Necesitamos ser más listos, sabios y, cómo no, escépticos. Vivimos en una época donde si ponemos las cosas fáciles, nos robarán antes o después” – Frank William Abagnale.

Fuente: https://blog.kaspersky.es/ingenieria-social-hackeando-a-personas/2066

Otros enlaces de interés:

http://searchsecurity.techtarget.com/definition/social-engineering

https://www.webroot.com/gb/en/home/resources/tips/online-shopping-banking/secure-what-is-social-engineering

http://www.social-engineer.org/

Este último es bastanteo completo.

Asesoramiento y evaluación  de riesgos de seguridad

Referencia: http://www.isaca.org/journal/archives/2010/volume-1/pages/performing-a-security-risk-assessment1.aspx

Enterprise risk management (ERM)

La importancia que tiene las metodologías en asesoramiento para evaluar esos riesgos esta trayendo la aproximación a identificar la gestión de riesgos en los sistemas de la organización.

Normalmente esta responsabilidad estaba desempeñada por el responsable IT o el personal de mantenimiento de Red. Pero ahora la cosa ha cambiado por que se ha adquirido mas especialización en materias de seguridad de la información.

Esto se entiende mejor el en el control de los componente de la estructura del sistema de información. Las aproximaciones tienen limitaciones como los sistemas que van llegando mas complejos, integrados y conectados en terceras partes. La seguridad  y el control de presupuestos tienen riesgos inmediatos y también sus limitaciones.

El asesoramiento de riesgos empresariales aproximan e incluyen todas las partes interesadas para asegurar los aspectos de la organización del IT: Organización, dirección o emplazamiento incluyendo hardware, software, la concienciación y formación del empleado. Y en el proceso de negocio.

Todas estas características son fundamentales a la hora de dar una solución optima a las necesidades del cliente.

Sin evaluar los diferentes tipos de datos de la organización  de la empresa es probablemente posible que se priorice los recursos tecnológicos.

Algunas aéreas a evaluar en el asesoramiento son:

  • Justificación del coste.

o   Ejemplo si vamos a tener el sistema sin funcionar un tiempo tendremos que justificar el coste y de cómo lo voy a amortizar con las mejoras.

  • Productividad

o   Conociendo todos estos Items que hacen funcionar a la empresa, podremos hacer modificaciones teniendo el menor impacto en la productividad. Así mejorándolo después de la solución mas optima obtenida para el caso en concreto.

  • Autoanálisis

o   Analizarnos a nosotros mismos como compañía asi como todos los procesos y ver en que partes podemos mejorar. Pero sobre todo revisar la cultura en cuanto a seguridad se refiere que tiene la empresa.

  • Comunicación:

o   Todos estos aspectos que estamos hablando de implementación de los sistemas evidente las comunicaciones cobran parte importante antes durante y después del proceso.

Metodología de asesoramiento en los riesgos de seguridad en una compañía:

Dependiendo del tamaño de la compañía y la complexión y la organización, el entorno tecnológico puede ser mas claro que es lo que se necesita puede ser no suficiente o demasiado y precisa ítems de asesoramiento para evaluar los riesgos. Pero sobre todo esto ayuda a  generar priorización.

 

Ejemplo de proceso (ingles):

  • Security requirements and objectives
  • System or network architecture and infrastructure, such as a network diagram showing how assets are configured and interconnected
  • Information available to the public or accessible from the organization’s web site
  • Physical assets, such as hardware, including those in the data center, network, and communication components and peripherals (e.g., desktop, laptop, PDAs)
  • Operating systems, such as PC and server operating systems, and network management systems
  • Data repositories, such as database management systems and files
  • A listing of all applications
  • Network details, such as supported protocols and network services offered
  • Security systems in use, such as access control mechanisms, change control, antivirus, spam control and network monitoring
  • Security components deployed, such as firewalls and intrusion detection systems
  • Processes, such as a business process, computer operation process, network operation process and application operation process
  • Identification and authentication mechanisms
  • Government laws and regulations pertaining to minimum security control requirements
  • Documented or informal policies, procedures and guidelines
  • Identify business needs and changes to requirements that may affect overall IT and security direction.
  • Review adequacy of existing security policies, standards, guidelines and procedures.
  • Analyze assets, threats and vulnerabilities, including their impacts and likelihood.
  • Assess physical protection applied to computing equipment and other network components.
  • Conduct technical and procedural review and analysis of the network architecture, protocols and components to ensure that they are implemented according to the security policies.
  • Review and check the configuration, implementation and usage of remote access systems, servers, firewalls and external network connections, including the client Internet connection.
  • Review logical access and other authentication mechanisms.
  • Review current level of security awareness and commitment of staff within the organization.
  • Review agreements involving services or products from vendors and contractors.
  • Develop practical technical recommendations to address the vulnerabilities identified, and reduce the level of security risk

Asesoramiento del impacto

  • Cuantificar los riesgos del impacto, ingresos costes, beneficios, niveles de servicio,  la regunaciion  y la reputación.
  • Una  lista de chequeo es buena práctica. Pero es solo el punto de partida del proceso. Con la experiencia adquirida el proceso podrá ser tanto como educacional como de concienciación para identificar los riesgos.
  • Un marco de trabajo en seguridad de la información es importante porque provee un mapa de ruta para la implementación y evaluación y mejora de las prácticas de seguridad de la información.

Conclusión:

  • El marco de trabajo de la seguridad de la información es importante porque  a partir de ahí se genera un mapa de implementación. Y con ello seremos capaces de identificar los objetivos y con ello conducir la evaluación y determinar las necesidades.
  • El tipio de camino seguido para asegurar los riesgos es gestionado de manera que tenga un coste efectivo u optimizado.
  • El proceso de cómo enmarcar el trabajo de la implementación y gestionarla los controles para asegurar las especificaciones  de los objetivos a cumplir. Y que la organización necesita.
  • Definición de un nuevo modelo de proceso de manejo de la seguridad  de la información.
  • Determinar el estatus o importancia de la información.
  • Hacer auditoría interna y externa para determinar el grado de cumplimiento de las políticas de las directivas adoptadas para la organización
  • Para la implementación de la viabilidad de la solución a la necesidad que el negocio o empresa ou entidad requiere. Pero también teniendo en cuenta la continuidad de la compañía.

Sinopsis:

Es decir tenemos que tener una solida base de información en el campo de seguridad informática y de la empresa para poder identificar los procesos de empresa. Los riesgos y vulnerabilidades para la organización podrán ser cambiados a lo largo del tiempo, como quiera que sea la organización o empresa tendrá que continuar por ese marco de trabajo. Y será una posición para ir a la dirección para identificar nuevos riesgos y vulnerabilidades en materias de seguridad. Que según vayamos monitoreando en una continua revisión iremos aprendiendo de ello y mejorando.

¿Qué significado tiene BIA en términos de seguridad informática?

 

File:Wifi-security.png

BIA (Business Impact Analysis), es el Análisis de los impactos a los que la organización puede enfrentarse ante la discontinuidad de sus operaciones, así como las dependencias de las tecnologías y los sistemas de información corporativos.

Pero este análisis siempre tiene como partida el análisis de riesgos.

El BIA es el estudio de las consecuencias que tendría en el negocio en una parada de sus procesos vitales por un determinado tiempo qué hay que recuperar, cuánto cuesta hacerlo, y cómo hay que recuperarlo. Este en un enfoque muy adecuado para identificar riesgos, logrando aplicar recursos de manera proporcional, minimizando el riesgo, y con un óptimo retorno de la inversión.

  • Cuáles son los procesos críticos, u ordenarlos por prioridad.
  • Cuál es el daño/impacto, en función del tiempo que se tarde en restablecerse el servicio.
  • Cuál es el coste de las diferentes estrategias de recuperación, que
    proporcionarán un tiempo y un punto objetivo de recuperación.

Un riesgo determinado podría ser el tiempo que se puede quedar inoperativa una empresa ante la implementación de algún sistema de información. Este parón se cuantifica en tiempo lo que se traduce en dinero perdido que con la implementación con la solución mas optima para cada caso se podrá a llegar a rentabilizar. Ya que se intuye que siempre son cambios de mejora para la empresa. Pero no tiene que ser necesario que sea en productividad, también se pueden hacer anales de riesgos de seguridad propiamente dicha.

Para ello lo ideal es identificar cada proceso o actividad de la compañía. Para así poder detectar donde puede incidir dicho impacto. El tiempo de interrupción, etc

En el BIA se estudian los procesos o funciones vitales del negocio, que dependan en cualquier medida de los sistemas de información. Una vez identificados, se determinará el coste que supone para el negocio una interrupción de esas funciones vitales.

Aquí podemos ver los pasos:

https://www.incibe.es/protege-tu-empresa/blog/pasos-seguir-realizar-analisis-impacto-negocio

Otro material para poder consultar:

https://www.mintic.gov.co/gestionti/615/articles-5482_G11_Analisis_Impacto.pdf

Aquí podemos ver la importancia que tiene este análisis:

http://www.biaprotect.com/security.html

Ampliando Horizontes Profesionales

Seguridad Informática

Hoy voy a empezar una nueva etapa dentro de mi trayectoria profesional en la cual voy adquirir conocimientos en temas de seguridad informática. Estoy muy contento porque llevo bastante tiempo detrás de ello y presentándome a pruebas donde por unas circunstancias u otras siempre me quedaba en reserva.

Este año volví a insistir en presentarme para las pruebas de selección para el certificado de profesionalidad en seguridad informática y en este caso sí que puedo decir que se cumplió el dicho de el que: “la sigue la consigue”.

Así que empiezo este periodo formativo con gran ilusión y con mucha pasión en todo lo que voy a hacer y sobre todo con muchas ganas de adquirir conocimientos.

Estas nuevas competencias las cuales voy aprender de forma intensiva durante casi 5 meses serán conocimientos los cuales quiero que en vez de quedarse en un cuaderno en un armario lleno de polvo poder ser información y conocimiento a compartir con el mundo de la información.

Por lo que he decidido si el tiempo en poder preparar toda la documentación diariamente de todo lo que aprendido no puedo emplear para finalizarlo satisfactoriamente y puedo hacerlo a diario mi idea es ir publicando todos los apuntes y conocimientos de dicho certificado para poder compartirlo con todos vosotros y así ver otros puntos de vista los cuales a mí también me permitan crecer como profesional.

También espero que me información pueda serle útil a los demás.

Espero que disfrutéis leyendo mis artículos y apuntes tanto como si duda lo voy a hacer yo haciéndolos.

Ademas si todo sale como quiero, la periocidad de pblicacion sera diaria o por lo menos lo intentare.

Se abre un nuevo universo en este espacio virtual en cual poco a poco voy surtiendo de contenido que me parece relevante compartirlo con todos vosotros. Por eso he creado una nueva categoría que se llama “Seguridad informática”.

No os quiero aburrir mas, solo deciros que seguro sera un camino apasionante.

Gracias por seguirme.