Embed Size (px)
DESCRIPTION
Seguridad Informática
Citation preview
Seguridad de los sistemas informáticos
Guia de estudio
Necesidad de protección de la información Vulnerabilidad de los sistemas informáticos Medidas de seguridad, servicios y
mecanismos Políticas de seguridad. AR y PC Seguridad física Seguridad lógica Esquemas y protocolos de seguridad
Necesidad de protección
Lectura en claseAportes de la claseConclusión
Vulnerabilidad de los sistemas informáticos. Amenazas y Ataques
Bienes informáticos sensiblesSoftware, Hardware y DatosBienes no intrínsicamente informáticos. Ej
Amenazas, según su origenErrores accidentalesEmpleados infieles, desleales o
descontentosDesastres naturales o provocadosAgresiones de terceros
Vulnerabilidad de los sistemas informáticos. Amenazas y Ataques
De la amenaza al hecho: Violaciones de un Sistema Intercepción: acceso no autorizado a
procesoModificación: Intercepción + Cambios Interrupción: parcial o totalGeneración: Agregar código a los prg.,
registros a una BD, mensajes no autorizados, etc
Vulnerabilidad de los sistemas informáticos. Amenazas y Ataques
Ataques a los bienes informáticosHardwareSoftwareDatos: Criptografía. Principio de
temporalidad (proteger el datos mientras tenga valor)
Medidas de seguridad, servicios y mecanismos
LógicasFísicasAdministrativasLegales
Propiedades fundamentales a considerar (ITSEC)*
Confidencialidad Usuarios autorizados
Integridad Información o falsa
Accesibilidad Quien accede y cuando lo hace
Autenticidad Origen y destino
Imposibilidad de rechazo No alegar ante tercero que no recibio o envio
*Information Thecnology Security Evaluation Criteria
Servicios de seguridad
Sistemas de cifrado: simétricos y asimétricos Proporcionan
Confidencialidad Autenticidad
Sistemas de comprobación de integridad Utilizan funciones de resumen y garantizan la
integridad
Mecanismos de autenticidad Impiden la duplicidad
Política de seguridad. AR y PC
Plan de Seguridad Análisis de riesgos Valoración de los daños Costo de las medidas de seguridad
Analisis de Riesgos
Beneficios: Aumentar la desconfianza Identificación de bienes, vulnerabilidades y controles Aumento de conocimientos básicos para la toma de
decisiones Justificación de erogaciones/gastos de seguridad
Fases Identificación y clasificación de riesgos Pronóstico y evaluación de las consecuencias Estimación de la probabilidad de ocurrencia Evaluación de la exposición al riesgo
Fase del AR: Identificación y clasificación de riesgos
Identificación de los bienes Hardware Software Datos Personal Documentación
Identificación y clasificación de los riesgos Sobrecarga, destrucción, robo, copiado, perdida,
etc,…
Inventario de bienes y riesgos a que están sometidos
Cuales son los efectos de los desastres naturales?
Cuales son los efectos de los intrusos externos?
Cuales son los efectos de los empleados malintencionados?
Fase del AR: Pronostico y evaluación de las consecuencias
Que ocurre si el sistema queda inutilizado totalmente?
Que ocurre si determinados ficheros se destruyen parcial o totalmente?
Que ocurre si se produce una copia no autorizada de datos?
Fase del AR: Estimación de la probabilidad de ocurrencia y Evaluación de la exposición al riesgo
E = Daño * Probabilidad de ocurrencia Que riesgos contribuyen en forma significativa la
exposición total de sistema? Una vez identificado el riesgo, podemos:
Prevenirlo: minimizar su probabilidad de ocurrencia Retenerlo: minimizar sus consecuencias (plan de
recupero) Transferirlo: seguro de perdidas, convenios con otros
usuarios, etc.
PC: Plan de contingencias
Realizar el AR Implantar sistemas de protección física Implantar sistemas de protección lógica Confección de un plan de emergencia Realizar un plan de recupero Elaboración de documentación Verificación e implantación del plan Distribución y mantenimiento del plan
Seguridad Física - Amenazas
Desastres Naturales Inundaciones Incendios Terremotos ….
Accidentes no provocados Caídas de tensión Calor / Humedad …
Acciones malintencionadas Atentados, sabotajes, hurtos, interferencias
electromagnéticas,…
Seguridad Lógica - SL
En el software de usuarioEn el Sistema OperativoEn la Base de DatosEn las Redes
SL – El rol de la criptografía
Identificar que componentes criptográficos hay
Que tipos de criptosistemasJustificación de su existenciaRol de la criptografía en el sistema
SL – Software de Usuario
Acceso no autorizado a datosProgramas con puerta de escapeCaballos de troyaProgramas ataques salamiProgramas con canales ocultosProgramas voracesBuclesVirus y gusanos
SL – Software de Usuario
Medidas y técnicas de seguridad Medidas:
Profilácticas Subdivisión de tareas, reutilización de código, utilización
de herramientas estándares, organización de tareas, entre otras aportadas por la IS
Técnicas: Revisiones cruzadas Modularidad, encapsulado y sombreado (Qué y no Cómo) Pruebas independientes Gestión de configuración – Control de Cambios
SL – Software de Base
Identificación y autenticación de usuariosModelos de seguridad (Sujeto-Objeto)
DiscrecionalMatriz de accesos de objetos, sujetos y tipos de
accesosObligatoria – No discrecionales
Establecen los canales por donde fluyen la información
Modelo BLP (Bell-La Padula)
SL – Bases de datos
El problema de la InferenciaBases estadísticas
El problema multinivelGrandes almacenes de datos con diferentes
niveles de confidencialidad y numerosos usuarios autorizados, cada uno con niveles distintos de autorización.-
SL – Redes de computadoras
La seguridad en la redUso de cifrado en la redCifrado de enlaceCifrado nodo a nodo
La seguridad de las comunicacionesMedios físicos de transmisión
Escucha pasiva/activa
Esquemas y protocolos de seguridad
Autenticidad e IntegridadFirma Digital
MétodosCon arbitroFirma digital ordinaria
Usos
