capítulo 1 - guía - introducción 1
DESCRIPTION
Guia para seguridad informaticaTRANSCRIPT
-
RISR- Seguridad en Redes -
Tema 1 Introduccin a la seguridad
informtica
Carlos J. Mateos OrozcoDTE ETSII Sevilla
-
2011- Muere Amy Winehouse
- Catstrofe de Japn
- Arranca el 15-M
-
Qu es la seguridad?
-
2011- Muere Amy Winehouse
- Catstrofe de Japn
- Arranca el 15-M
-
Qu es la seguridad? La seguridad, con todos sus componentes
hardware, software, etc., es un sistema dentro de sistemas mayores.
La seguridad es un proceso, que hace intervenir a todas las tecnologas, todos los productos y, a los seres humanos que la gestionan.
** En adelante nos referiremos a la seguridad informtica simplemente como seguridad.
-
2011- Muere Amy Winehouse
- Catstrofe de Japn
- Arranca el 15-M
-
Fsica vs Lgica Seguridad Fsica: Controles y mecanismos de
seguridad entorno al centro de cmputo, as como los medios de acceso remoto al y desde el mismo; implementados para proteger el hardware y medios de almacenamiento de datos.
Seguridad Lgica: Proteccin de la informacin, en su propio medio, de su revelacin (criptografa), del acceso a la misma y de su monitorizacin (seguridad perimetral).
-
2011- Muere Amy Winehouse
- Catstrofe de Japn
- Arranca el 15-M
-
Definiciones
Vulnerabilidad
-
2011- Muere Amy Winehouse
- Catstrofe de Japn
- Arranca el 15-M
-
Definiciones
Vulnerabilidad = Debilidad
-
2011- Muere Amy Winehouse
- Catstrofe de Japn
- Arranca el 15-M
-
DefinicionesAmenaza = Probabilidad de que un hecho
que puede provocar un dao ocurra.
Ataque = Accin cuyo objetivo es provocar dao.
Su objetivo suele ser una vulnerabilidad.
Riesgo = Posibilidad de que, ante un ataque, nos veamos perjudicados.
-
2011- Muere Amy Winehouse
- Catstrofe de Japn
- Arranca el 15-M
-
Principios de la seguridad PRINCIPIO DE ACCESO MS FACIL
La cadena es tan fuerte como su eslabn ms dbil
PRINCIPIO DE CADUCIDAD DE LA INFORMACIN Los datos confidenciales deben protegerse slo hasta que el secreto pierda su valor como tal
PRINCIPIO DE EFICIENCIA Las medidas de control deben ser eficientes, fciles de usar y apropiadas al medio
-
2011- Muere Amy Winehouse
- Catstrofe de Japn
- Arranca el 15-M
-
Objetivos CONFIDENCIALIDAD
La informacin debe ser accesible solamente a las partes autorizadas.
INTEGRIDAD Los elementos de un sistema solo pueden ser modificados por partes autorizadas.
DISPONIBILIDADLos elementos de un sistema deben estar siempre
disponibles para las partes autorizadas.
AUENTICIDADUn sistema debe ser capaz de verificar la identidad de quin lo usa.
-
2011- Muere Amy Winehouse
- Catstrofe de Japn
- Arranca el 15-M
-
Sistema seguro
Un sistemas solo se considerar
seguro, si y solo si, cumple con estos objetivos.
-
2011- Muere Amy Winehouse
- Catstrofe de Japn
- Arranca el 15-M
-
Qu protegemos? ACTIVOS
Conjuntos de bienes tangibles e intangibles que posee una organizacin Informacin Documentos, informes, patentes, informacin de mercado, cdigo de programacin,
reportes financieros,etc.
Equipos Software: aplicaciones, programas especficos, sistemas operativos, etc. Hardware: computadoras, servidores, equipos porttiles, etc.
Organizacin Se refiere a la organizacin lgica y fsica que tiene el personal dentro de la empresa en
cuestin. Ej: estructura departamental y funcional, distribucin de funciones, flujos de informacin de la empresa, etc.
UsuariosIndividuos que utilizan la estructura tecnolgica y de comunicacin de la empresa y que manejan la informacin. Formacin en seguridad
-
2011- Muere Amy Winehouse
- Catstrofe de Japn
- Arranca el 15-M
-
El tringulo de debilidades
-
2011- Muere Amy Winehouse
- Catstrofe de Japn
- Arranca el 15-M
-
El tringulo de debilidades
-
2011- Muere Amy Winehouse
- Catstrofe de Japn
- Arranca el 15-M
-
El tringulo de objetivos
-
2011- Muere Amy Winehouse
- Catstrofe de Japn
- Arranca el 15-M
-
El tringulo de objetivos
PERSONAS
-
2011- Muere Amy Winehouse
- Catstrofe de Japn
- Arranca el 15-M
-
Principal debilidad
-
2011- Muere Amy Winehouse
- Catstrofe de Japn
- Arranca el 15-M
-
Principal debilidad
-
2011- Muere Amy Winehouse
- Catstrofe de Japn
- Arranca el 15-M
-
De qu nos protegemos?AMENAZAS Y ATAQUES
sobre nuestros activos.
-
2011- Muere Amy Winehouse
- Catstrofe de Japn
- Arranca el 15-M
-
Clasificacin de ataquesSegn:
ORIGEN
COMPLEJIDAD
OBJETIVO
-
2011- Muere Amy Winehouse
- Catstrofe de Japn
- Arranca el 15-M
-
Segn origenDesde dnde se realiza el ataque:
ExternosEl ataque se genera desde fuera de la
organizacin objetvo.
InternosEl ataque se genera desde dentro de la
organizacin objetivo.
-
2011- Muere Amy Winehouse
- Catstrofe de Japn
- Arranca el 15-M
-
Segn complejidad No estructuradosNo definen un objetivo especfico.Pruebas con herramientas de hacking.Aleatorios.
EstructuradosSe enfocan como un proyecto. Se dirigen contra un objetivo concreto.Todos los detalles son estudiados.
-
2011- Muere Amy Winehouse
- Catstrofe de Japn
- Arranca el 15-M
-
Segn objetivo Un sistema informtico genera o recibe
informacin. La informacin fluye desde un origen hacia un
destino.
Flujo de datos
Sistema A Sistema B
-
2011- Muere Amy Winehouse
- Catstrofe de Japn
- Arranca el 15-M
-
Segn objetivoInterrupcinSe destruye un elemento del sistema o se hace inaccesible.
Ataque a la DISPONIBILIDAD (DoS).
Flujo de datos
Sistema A Sistema B
-
2011- Muere Amy Winehouse
- Catstrofe de Japn
- Arranca el 15-M
-
Segn objetivoInterceptacin
Una parte no autorizada consigue acceder a un elemento y consigue obtener privilegios. La parte no autorizada puede ser una persona, un programa o un computador.
Ataque a la CONFIDENCIALIDAD
Flujo de datos
Sistema A Sistema B
Sistema Intruso
-
2011- Muere Amy Winehouse
- Catstrofe de Japn
- Arranca el 15-M
-
Segn objetivoModificacin
Una parte no autorizada no slo consigue acceder a la informacin, sino que tambin la modifica en trnsito. Ataque a la CONFIDENCIALIDAD e INTEGRIDAD
Flujo de datos
Sistema A Sistema B
Sistema Intruso
-
2011- Muere Amy Winehouse
- Catstrofe de Japn
- Arranca el 15-M
-
Segn objetivoGeneracin
Una parte no autorizada inserta objetos falsos en el sistema, suplantando a un emisor Ataque a la AUTENTICIDAD
Flujo de datos
Sistema A Sistema B
Sistema Intruso
-
2011- Muere Amy Winehouse
- Catstrofe de Japn
- Arranca el 15-M
-
Poltica de seguridad Definicin: Conjunto de requisitos definidos por los
responsables directos o indirectos de un sistema que indica en trminos generales que est y que no est permitido durante la operacin de dicho sistema.
Poltica prohibitivaTodo lo que no est expresamente permitido, se deniega
Poltica permisivaTodo lo que no est expresamente prohibido, se permite.
-
2011- Muere Amy Winehouse
- Catstrofe de Japn
- Arranca el 15-M
-
La rueda de la seguridad La seguridad no es esttica. Debe ser revisada y mejorada
continuamente. Metodologa destinada a verificar que se ha implementado
correctamente las contramedidas frente a las vulnerabilidades en seguridad, y que funcionan correctamente.
Poltica de Poltica de SeguridadSeguridad (1)(1)
Asegurar(2)
Asegurar(2)
Monitorizar(3)
Monitorizar(3)
Comprobar(4)
Comprobar(4)
Mejorar(5)
Mejorar(5)
-
2011- Muere Amy Winehouse
- Catstrofe de Japn
- Arranca el 15-M
-
La rueda de la seguridad1. Poltica de seguridad
Es el punto de partida y el eje sobre el que se sustentan los pasos restantes.
2. AsegurarDetener, evitar el acceso y las actividades no autorizadas (PKI, Firewalls, VPNs).
3. MonitorizarMtodos activos y pasivos de deteccin de violaciones en la seguridad cmo auditoras del sistema y deteccin de intrusiones en tiempo real.
4. ComprobarAsegurar la eficacia de las soluciones implementadas en el paso 2 y 3.
5. MejorarAnalizar los datos recopilados durante las fases de monitorizacin y prueba, as como el desarrollo e implementacin de mecanismos de mejora que realimentan la poltica de seguridad y al paso 1.
-
2011- Muere Amy Winehouse
- Catstrofe de Japn
- Arranca el 15-M
-
$$$$$
Cunto cuesta implantar medidas
de seguridad?
-
2011- Muere Amy Winehouse
- Catstrofe de Japn
- Arranca el 15-M
-
Anlisis de riesgos Definicin: Proceso de identificacin y evaluacin del riesgo a sufrir
un ataque y perder datos, tiempo y horas de trabajo, comparado con el costo que significa la prevencin del suceso. Su anlisis no solo nos lleva a establecer un nivel adecuado de seguridad, sino que nos permite conocer mejor el sistema que vamos a proteger y si merece la pena protegerlo.
RIESGO vs CONTROL vs COSTE
El coste del control ha de ser menor que el activo que se protege.
Pgina 1Pgina 2Pgina 3Pgina 4Pgina 5Pgina 6Pgina 7Pgina 8Pgina 9Pgina 10Pgina 11Pgina 12Pgina 13Pgina 14Pgina 15Pgina 16Pgina 17Pgina 18Pgina 19Pgina 20Pgina 21Pgina 22Pgina 23Pgina 24Pgina 25Pgina 26Pgina 27Pgina 28Pgina 29Pgina 30Pgina 31