Publicado el 28 de Noviembre del 2020
372 visualizaciones desde el 28 de Noviembre del 2020
1,9 MB
153 paginas
Creado hace 14a (25/07/2009)
Inciación a la seguridad en los
Sistemas Informáticos
José Carlos Collado Machuca
José Carlos Collado Machuca
Manuel Fernández Barcell
Manuel Fernández Barcell
Dpto. de Lenguajes y Sistemas Informáticos
Dpto. de Lenguajes y Sistemas Informáticos
Propósitos del Tema
Divulgar los conceptos de:
Conceptos sobre Seguridad de la
información
Conceptos sobre TCP/IP
Funcionamientos de redes
Criptografía
Mecanísmos y Medios técnicos de
seguridad
Seguridad: definiciones
“Sabemos que es hasta que alguien
Sabemos que es hasta que alguien
nos pide que lo definamos”
nos pide que lo definamos
(Descartes)
¿Qué entendemos por seguridad?
Real Academia de la Lengua:
SEGURIDAD: Cualidad de seguro
SEGURO: libre y exento de todo peligro,
daño o riesgo
Definiciones de Seguridad Informática:
Consejo Superior de Informática
Conjunto de técnicas y procedimientos
que tienen como misión la protección de
los bienes informáticos de una
organización
Bienes informáticos
Hardware
Datos
Programas
Consejo Superior de Informática
Conjunto de medidas encaminadas al
mantenimiento de la
confidencialidad,autenticidad, integridad
y la disponibilidad de los bienes
informáticos
Definiciones de Seguridad:
Internet Society”
“Internet Society
Es un concepto multidimensional
Cuando pensamos en la seguridad nos
referimos a uno o más de los siguientes
aspectos:
Autentificación
Control de acceso
Auditoría de actividades
Confidencialidad
Integridad
Disponibilidad
No repudiación
Rfc2828
ftp.isi.edu/innotes/rfc2828.txt
Autentificación:
Dar y reconocer la autenticidad de ciertas
informaciones del Dominio y/o la identidad
de los actores y/o la autorización por parte
de los autorizadores y la verificación
Que los datos, las personas y programas
son auténticos
Verificar la identidad
Confidencialidad:
Condición que asegura que la información
no pueda estar disponible o ser descubierta
por o para personas, entidades o procesos
no autorizados
Acceso sólo entes autorizados
Disponibilidad:
Grado en el que un dato está en el lugar,
momento y forma en que es requerido por
el usuario autorizado
Los bienes informáticos pueden ser
utilizado cuándo y cómo lo requieran los
usuarios autorizados
Integridad + disponibilidad = confiabilidad
Integridad:
Condición de seguridad que garantiza que
la información es modificada, incluyendo
su creación y borrado, sólo por personal
autorizado
Modificación sólo por personal
autorizado
Control de acceso
Protección de los recursos del sistema
contra accesos no autorizados
El uso de los recursos del sistema están
regulados conforme a una política de
seguridad
Solo es permitido a las entidades
autorizadas( usuarios, programas,
procesos, otros sistemas..), de acuerdo a la
política de seguridad
No repudiación
No poder negar la intervención en una
operación o comunicación
Auditoría de actividades
Registro cronológico de las actividades
del sistema que permitan la
reconstrucción y examen de los eventos
ocurridos
Registro de eventos
ISO/IEC 17799 la información
La información es un activo que tiene valor
para la organización y requiere una protección
adecuada.
La seguridad de la información la protege de
un amplio elenco de amenazas para asegurar
la continuidad del negocio, minimizar los
daños a la organización y maximizar el retorno
de inversiones y las oportunidades de
negocios.
ISO/IEC 17799 formas información
La información adopta diversas formas.
Puede estar impresa o escrita en papel,
Almacenada electrónicamente,
Transmitida por correo o por medios electrónicos,
Mostrada en filmes o hablada en conversación..
Debería protegerse adecuadamente
cualquiera que sea la forma que tome o los
medios por los que se comparta o almacene.
ISO/IEC 17799 Características
La seguridad de la información se caracteriza
aquí por la preservación de:
Su confidencialidad, asegurando que solo quien
está autorizado puede acceder a la información
Su integridad, asegurando que la información y sus
métodos de procesos son exactos y completos
Su disponibilidad, asegurando que los usuarios
autorizados tiene acceso a la información y a sus
activos asociados cuando lo requieran
ISO/IEC 17799 SEGURIDAD
La seguridad de la información se consigue
implantando un conjunto adecuado de
controles, que pueden ser políticas, prácticas,
procedimientos, estructuras organizativas y
funciones software.
Estos controles deberían establecerse para
asegurar que se cumplen los objetivos
específicos de seguridad de la organización
Niveles de seguridad
Seguro estaba y se murió
No existe la seguridad total
Existen grados de seguridad acorde con
el bien a defender
La política de seguridad siempre es un
compromiso entre el nivel de riesgo
asumido y el coste requerido
Los planes de seguridad
Enfrentamiento con la mentalidad
mediterránea
Improvisación
Planificación
¿Podría decirme qué camino debo tomar?
Preguntó Alicia; esto depende de adonde
quieras llegar, contestó el gato
(Alicia en el País de las Maravillas)
ISO: análisis de riesgos
Definiciones
ACTIVO: Recurso del sistema de información o relacionado con
éste, necesario para que la organización funcione correctamente
y alcance los objetivos propuestos por su dirección.
AMENAZA: Evento que puede desencadenar un incidente en la
organización, produciendo daños o pérdidas materiales o
inmateriales en sus activos.
VULNERABILIDAD: debilidades que pueden permitir que una
amenaza se materialice
RIESGO: Posibilidad de que una amenaza se materialice.
IMPACTO: Consecuencia sobre un activo de la materialización
de una amenaza.
CONTROL o SALVAGUARDA: Práctica, procedimiento o
mecanismo que reduce el nivel de riesgo.
Magerit 2: análisis de riesgo
Magerit: tratamiento
Valoración cuantitativa del riesgo
Modelo PDCA
Ataques Pasivos
Escuchas de las transmisiones.
Para obtener información.
Divulgación del contenido del mensaje:
El intruso se entera del contenido de la
transmisión.
Análisis del tráfico:
Controlando la frecuencia y la longitud de los
mensajes, incluso los cifrados, se puede
adivinar la naturaleza de la conexión.
•Difíciles de detectar
•Se pueden prevenir.
Ataques Activos
Enmascaramiento:
Una entidad pretende ser otra entidad
diferente.
Repetición.
Modificación de mensajes.
Denegación de un servicio.
•Fácil de detectar
•La detección tiene un efecto disuasivo.
•Difícil de prevenir
Clasificación de las medidas
seguridad (I)
Medidas técnicas
Seguridad física (externa)
ASPECTOS:
De Sistemas
De red
Del software
Se consigue adoptando una serie de medidas
físicas y administrativas
Aspectos:
Intrusos físicos (“choris”)
Agentes físicos externos al sistema
Seguridad lógica (Interna)
Se consigue adoptando una serie de medidas
técnicas y administrativas
Clasificación de las medidas
seguridad (II)
Medidas Organizativas
Normas que determinan funciones como:
Las personas que pueden acceder.
Quién tiene derecho a utilizar el sistema
Horario etc
Clasificación de los usuarios
Administradores
Usuarios
Personas ajenas al sistema
Personal de mantenimiento
Ejecutivos de grado medio
Niveles
Todo el mundo tiene acceso a todo
Dos niveles: privilegiado y normal
Varios niveles de acceso
Medidas organizativas y legales
Todas las normas de “organización” (NO
técnicas) necesarias para llevar a cabo el
plan de seguridad
Medidas legales
Legislación de protección de datos
Normas de seguridad de obligado
cumplimiento
Metodologías de seguridad
Metodologías de análisis de riesgo
Metodologías de nacionales e
internacionales de seguridad
Estándares: ISO 17799/UNE 71501
Seguridad física: medidas anti
intrusos
Medidas anti Intrusos sobre equipos,
ordenadores y redes
Consisten en impedir el acceso físico de
personas no autorizadas a las instalaciones y
el equipamiento
Medidas Físicas
Puertas de seguridad, cerraduras, vallas
Vigilancia.
Control de acceso
Alarmas, circuitos cerrados de TV
Seguridad física: anti intrusos
Muchas medidas de seguridad tienen
comprometida su eficacia si no se impide el
acceso físico a los equipos
Medidas administrativas
Control de los visitantes
Acompañar al visitante hasta su destino
No entregar llaves
Restricción de acceso a zonas
determinadas
Uso de tarjetas identificativas
Seguridad física:
Seguridad Externa Agentes físicos
Medidas dirigidas a proteger los sistemas contra
accidentes, agentes ambientales o físicos como el
fuego, electricidad, inundación, temperatura,
humedad, ambiente sin polvo etc...
Medidas contra incendios.
Aire acondicionado.
Doble suelo
Instalación eléctrica
Estabilizadores
SAI´s
Seguridad Externa. Agentes físicos
Directrices de construcción
Construcción de la sala de ordenadores por encima
del primer piso
No debajo de conducciones de agua
Calidad de los materiales de construcción
Consideraciones eléctricas
Suministro del panel principal
Independencia entre circuito ordenadores y otros
equipos
Equipos de aislamiento eléctrico y SAI
Circuitos de emergencias
Seguridad física: Agentes externos
Medidas organizativas
Plan de contingencia ante estos fenómenos
Ejemplo:
¿Que hacer cuando se va la luz?
Seguridad lógica
Se consigue adoptando una serie de medidas técnicas
y administrativas
Afectan a la configuración de los sistemas operativos
La implementación dependerá de cada sistema
operativo:
UNIX
Windows
Ver documento de recomendaciones de seguridad
para encontrar medidas concretas
http://www.rediris.es/cert/doc/
Redes inalámbricas
http://www.rediris.es/cert/doc/reuniones/fs2006/archivo.es.html
Seguridad lógica
ASPECTOS:
De Sistemas
Autentificación
Políticas de contraseñas
Políticas de cuentas
Control de acceso
Seguridad en los sistemas de ficheros
Configuración de equipos y servidores
Configuración de servicios (www, FTP, correo
Comentarios de: Inciación a la seguridad en los Sistemas Informáticos (0)
No hay comentarios