PDF de programación - Inciación a la seguridad en los Sistemas Informáticos

Imágen de pdf Inciación a la seguridad en los  Sistemas Informáticos

Inciación a la seguridad en los Sistemas Informáticosgráfica de visualizaciones

Publicado el 28 de Noviembre del 2020
109 visualizaciones desde el 28 de Noviembre del 2020
1,9 MB
153 paginas
Creado hace 11a (25/07/2009)
Inciación a la seguridad en los 
Sistemas Informáticos

José Carlos Collado Machuca
José Carlos Collado Machuca
Manuel Fernández Barcell
Manuel Fernández Barcell
Dpto. de Lenguajes y Sistemas Informáticos
Dpto. de Lenguajes y Sistemas Informáticos

 

 

Propósitos del Tema

Divulgar los conceptos de:

Conceptos sobre Seguridad de la 
información
Conceptos sobre TCP/IP
Funcionamientos de redes
Criptografía
Mecanísmos y Medios técnicos de 
seguridad

Seguridad: definiciones

“Sabemos que es hasta que alguien 
Sabemos que es hasta que alguien 
nos pide que lo definamos” 
nos pide que lo definamos
(Descartes)

¿Qué entendemos por seguridad? 

Real Academia de la Lengua:

SEGURIDAD: Cualidad de seguro
SEGURO: libre y exento de todo peligro, 
daño o riesgo

Definiciones de Seguridad Informática:

 Consejo Superior de Informática

Conjunto de técnicas y procedimientos 

que tienen como misión la protección de 
los bienes informáticos de una 
organización

Bienes informáticos

Hardware
Datos
Programas

Consejo Superior de Informática

Conjunto de medidas encaminadas al 

mantenimiento de la 
confidencialidad,autenticidad, integridad 
y la disponibilidad de los bienes 
informáticos

Definiciones de Seguridad: 

Internet Society” 
“Internet Society

Es un concepto multidimensional
Cuando pensamos en la seguridad nos 
referimos a uno o más de los siguientes 
aspectos:

Autentificación
Control de acceso
Auditoría de actividades
Confidencialidad
Integridad
Disponibilidad
No repudiación

Rfc2828
ftp.isi.edu/in­notes/rfc2828.txt

Autentificación:

Dar y reconocer la autenticidad de ciertas 
informaciones del Dominio y/o la identidad 
de los actores y/o la autorización por parte 
de los autorizadores y la verificación

Que los datos, las personas y programas 
son auténticos
Verificar la identidad

Confidencialidad:

Condición que asegura que la información 
no pueda estar disponible o ser descubierta 
por o para personas, entidades o procesos 
no autorizados

Acceso sólo entes autorizados

Disponibilidad:

Grado en el que un dato está en el lugar, 
momento y forma en que es requerido por 
el usuario autorizado

Los bienes informáticos pueden ser 

utilizado cuándo y cómo lo requieran los 
usuarios autorizados

Integridad + disponibilidad = confiabilidad

Integridad:

Condición de seguridad que garantiza que 
la información es modificada, incluyendo 
su creación y borrado, sólo por personal 
autorizado

Modificación sólo por personal 

autorizado

Control de acceso

Protección de los recursos del sistema 

contra accesos no autorizados

El uso de los recursos del sistema están 
regulados conforme a una política de 
seguridad
Solo es permitido a las entidades 
autorizadas( usuarios, programas, 
procesos, otros sistemas..), de acuerdo a la 
política de seguridad

No repudiación

No poder negar la intervención en una 

operación o comunicación

Auditoría de actividades

Registro cronológico de las actividades 

del sistema que permitan la 
reconstrucción y examen de los eventos 
ocurridos

Registro de eventos

ISO/IEC 17799 la información

 La información es un activo que tiene valor 

para la organización y requiere una protección 
adecuada. 

 La seguridad de la información la protege de 
un amplio elenco de amenazas para asegurar 
la continuidad del negocio, minimizar los 
daños a la organización y maximizar el retorno 
de inversiones y las oportunidades de 
negocios.

ISO/IEC 17799 formas información

 La información adopta diversas formas. 

Puede estar impresa o escrita en papel, 
Almacenada electrónicamente, 
Transmitida por correo o por medios electrónicos, 
Mostrada en filmes o hablada en conversación.. 

 Debería protegerse adecuadamente 

cualquiera que sea la forma que tome o los 
medios por los que se comparta o almacene.

ISO/IEC 17799 Características

 La seguridad de la información se caracteriza 

aquí por la preservación de:

Su confidencialidad, asegurando que solo quien 
está autorizado puede acceder a la información
Su integridad, asegurando que la información y sus 
métodos de procesos son exactos y completos
Su disponibilidad, asegurando que los usuarios 
autorizados tiene acceso a la información y a sus 
activos asociados cuando lo requieran

ISO/IEC 17799 SEGURIDAD

 La seguridad de la información se consigue 

implantando un conjunto adecuado de 
controles, que pueden ser políticas, prácticas, 
procedimientos, estructuras organizativas y 
funciones software.

 Estos controles deberían establecerse para 

asegurar que se cumplen los objetivos 
específicos de seguridad de la organización

Niveles de seguridad

Seguro estaba y se murió
No existe la seguridad total

Existen grados de seguridad acorde con 

el bien a defender 

La política de seguridad siempre es un 
compromiso entre el nivel de  riesgo 
asumido y el coste requerido

Los planes de seguridad

Enfrentamiento con la mentalidad 

mediterránea

 

Improvisación

Planificación

¿Podría decirme qué camino debo tomar? 
Preguntó Alicia; esto depende de adonde 
quieras llegar, contestó el gato

(Alicia en el País de las Maravillas)

ISO: análisis de riesgos

Definiciones

 ACTIVO: Recurso del sistema de información o relacionado con 
éste, necesario para que la organización funcione correctamente 
y alcance los objetivos propuestos por su dirección.

 AMENAZA: Evento que puede desencadenar un incidente en la 

organización, produciendo daños o pérdidas materiales o 
inmateriales en sus activos.

 VULNERABILIDAD: debilidades que pueden permitir que una 

amenaza se materialice

 RIESGO: Posibilidad de que una amenaza se materialice.
 IMPACTO: Consecuencia sobre un activo de la materialización 

de una amenaza.

 CONTROL o SALVAGUARDA: Práctica, procedimiento o 

mecanismo que reduce el nivel de riesgo.

Magerit 2: análisis de riesgo

Magerit: tratamiento

Valoración cuantitativa del riesgo

Modelo PDCA

Ataques Pasivos

Escuchas de las transmisiones.

Para obtener información.

Divulgación del contenido del mensaje:

El intruso se entera del contenido de la 
transmisión.

Análisis del tráfico:

Controlando la frecuencia y la longitud de los 
mensajes, incluso los cifrados, se puede 
adivinar la naturaleza de la conexión.

•Difíciles de detectar
•Se pueden prevenir.

Ataques Activos

Enmascaramiento:

Una entidad pretende ser otra entidad 
diferente.
Repetición.
Modificación de mensajes.
Denegación de un servicio.

•Fácil de detectar
•La detección tiene un efecto disuasivo.
•Difícil de prevenir

Clasificación de las medidas 
seguridad (I)

Medidas técnicas

Seguridad física (externa)

 ASPECTOS:

 De Sistemas
 De red
 Del software 

Se consigue adoptando una serie de medidas 
físicas y administrativas
Aspectos:

 Intrusos físicos (“choris”)
 Agentes físicos externos al sistema

Seguridad lógica (Interna)

 Se consigue adoptando una serie de medidas 

técnicas y administrativas

Clasificación de las medidas 
seguridad (II)
Medidas Organizativas

Normas que determinan funciones como:

Las personas que pueden acceder.
Quién tiene derecho a utilizar el sistema
Horario etc

Clasificación de los usuarios

Administradores
Usuarios
Personas ajenas al sistema
Personal de mantenimiento
Ejecutivos de grado medio

Niveles

Todo el mundo tiene acceso a todo
Dos niveles: privilegiado y normal
Varios niveles de acceso

Medidas organizativas y legales

Todas las normas de “organización”  (NO 
técnicas) necesarias para llevar a cabo el 
plan de seguridad

Medidas legales

Legislación de protección de datos
Normas de seguridad de obligado 
cumplimiento

Metodologías de seguridad

Metodologías de análisis de riesgo
Metodologías de nacionales e 
internacionales de seguridad
Estándares: ISO 17799/UNE 71501

Seguridad física: medidas anti 
intrusos
Medidas anti ­Intrusos sobre equipos, 
ordenadores y redes

Consisten en impedir el acceso físico de 
personas no autorizadas a las instalaciones y 
el equipamiento

Medidas Físicas

Puertas de seguridad, cerraduras, vallas
Vigilancia.
Control de acceso
Alarmas, circuitos cerrados de TV

Seguridad física: anti intrusos

Muchas medidas de seguridad tienen 
comprometida su eficacia si no se impide el 
acceso físico a los equipos

Medidas administrativas
Control de los visitantes

Acompañar al visitante hasta su destino
No entregar llaves

Restricción de acceso a zonas 
determinadas
Uso de tarjetas identificativas

Seguridad física:
Seguridad Externa Agentes físicos

Medidas dirigidas a proteger los sistemas contra 
accidentes, agentes ambientales o físicos como el 
fuego, electricidad, inundación, temperatura, 
humedad, ambiente sin polvo etc...

Medidas contra incendios.
Aire acondicionado.
Doble suelo
Instalación eléctrica

Estabilizadores
SAI´s

Seguridad Externa. Agentes físicos

 Directrices de construcción

Construcción de la sala de ordenadores por encima 
del primer piso
No debajo de conducciones de agua
Calidad de los materiales de construcción

 Consideraciones eléctricas
Suministro del panel principal
Independencia entre circuito ordenadores y otros 
equipos
Equipos de aislamiento eléctrico y SAI
Circuitos de emergencias

Seguridad física: Agentes externos

Medidas organizativas

Plan de contingencia ante estos fenómenos
Ejemplo:

¿Que hacer cuando se va la luz?

Seguridad lógica

 Se consigue adoptando una serie de medidas técnicas 

y administrativas

 Afectan a la configuración de los sistemas operativos
 La implementación dependerá de cada sistema 

operativo:

UNIX
Windows

 Ver documento de recomendaciones de seguridad 

para encontrar medidas concretas

http://www.rediris.es/cert/doc/
Redes inalámbricas

 http://www.rediris.es/cert/doc/reuniones/fs2006/archivo.es.html

 

Seguridad lógica

 ASPECTOS:
De Sistemas

Autentificación

 Políticas de contraseñas
 Políticas de cuentas

Control de acceso
Seguridad en los sistemas de ficheros
Configuración de equipos y servidores
Configuración de servicios (www, FTP, correo
  • Links de descarga
http://lwp-l.com/pdf18493

Comentarios de: Inciación a la seguridad en los Sistemas Informáticos (0)


No hay comentarios
 

Comentar...

Nombre
Correo (no se visualiza en la web)
Valoración
Comentarios...
CerrarCerrar
CerrarCerrar
Cerrar

Tienes que ser un usuario registrado para poder insertar imágenes, archivos y/o videos.

Puedes registrarte o validarte desde aquí.

Codigo
Negrita
Subrayado
Tachado
Cursiva
Insertar enlace
Imagen externa
Emoticon
Tabular
Centrar
Titulo
Linea
Disminuir
Aumentar
Vista preliminar
sonreir
dientes
lengua
guiño
enfadado
confundido
llorar
avergonzado
sorprendido
triste
sol
estrella
jarra
camara
taza de cafe
email
beso
bombilla
amor
mal
bien
Es necesario revisar y aceptar las políticas de privacidad