1 / 26

Seguridad de los sistemas informáticos

Seguridad de los sistemas informáticos. Guia de estudio. Necesidad de protección de la información Vulnerabilidad de los sistemas informáticos Medidas de seguridad, servicios y mecanismos Políticas de seguridad. AR y PC Seguridad física Seguridad lógica Esquemas y protocolos de seguridad.

onan
Download Presentation

Seguridad de los sistemas informáticos

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Seguridad de los sistemas informáticos

  2. Guia de estudio • Necesidad de protección de la información • Vulnerabilidad de los sistemas informáticos • Medidas de seguridad, servicios y mecanismos • Políticas de seguridad. AR y PC • Seguridad física • Seguridad lógica • Esquemas y protocolos de seguridad

  3. Necesidad de protección • Lectura en clase • Aportes de la clase • Conclusión

  4. Vulnerabilidad de los sistemas informáticos. Amenazas y Ataques • Bienes informáticos sensibles • Software, Hardware y Datos • Bienes no intrínsicamente informáticos. Ej • Amenazas, según su origen • Errores accidentales • Empleados infieles, desleales o descontentos • Desastres naturales o provocados • Agresiones de terceros

  5. Vulnerabilidad de los sistemas informáticos. Amenazas y Ataques • De la amenaza al hecho: Violaciones de un Sistema • Intercepción: acceso no autorizado a proceso • Modificación: Intercepción + Cambios • Interrupción: parcial o total • Generación: Agregar código a los prg., registros a una BD, mensajes no autorizados, etc

  6. Vulnerabilidad de los sistemas informáticos. Amenazas y Ataques • Ataques a los bienes informáticos • Hardware • Software • Datos: Criptografía. Principio de temporalidad (proteger el datos mientras tenga valor)

  7. Medidas de seguridad, servicios y mecanismos • Lógicas • Físicas • Administrativas • Legales ¿?

  8. Propiedades fundamentales a considerar (ITSEC)* S i n e r g i a • Confidencialidad • Usuarios autorizados • Integridad • Información o falsa • Accesibilidad • Quien accede y cuando lo hace • Autenticidad • Origen y destino • Imposibilidad de rechazo • No alegar ante tercero que no recibio o envio *Information Thecnology Security Evaluation Criteria

  9. Servicios de seguridad • Sistemas de cifrado: simétricos y asimétricos • Proporcionan • Confidencialidad • Autenticidad • Sistemas de comprobación de integridad • Utilizan funciones de resumen y garantizan la integridad • Mecanismos de autenticidad • Impiden la duplicidad

  10. Política de seguridad. AR y PC • Plan de Seguridad • Análisis de riesgos • Valoración de los daños • Costo de las medidas de seguridad

  11. Analisis de Riesgos • Beneficios: • Aumentar la desconfianza • Identificación de bienes, vulnerabilidades y controles • Aumento de conocimientos básicos para la toma de decisiones • Justificación de erogaciones/gastos de seguridad • Fases • Identificación y clasificación de riesgos • Pronóstico y evaluación de las consecuencias • Estimación de la probabilidad de ocurrencia • Evaluación de la exposición al riesgo

  12. Fase del AR: Identificación y clasificación de riesgos • Identificación de los bienes • Hardware • Software • Datos • Personal • Documentación • Identificación y clasificación de los riesgos • Sobrecarga, destrucción, robo, copiado, perdida, etc,…

  13. Inventario de bienes y riesgos a que están sometidos • Cuales son los efectos de los desastres naturales? • Cuales son los efectos de los intrusos externos? • Cuales son los efectos de los empleados malintencionados?

  14. Fase del AR: Pronostico y evaluación de las consecuencias • Que ocurre si el sistema queda inutilizado totalmente? • Que ocurre si determinados ficheros se destruyen parcial o totalmente? • Que ocurre si se produce una copia no autorizada de datos?

  15. Fase del AR: Estimación de la probabilidad de ocurrencia y Evaluación de la exposición al riesgo • E = Daño * Probabilidad de ocurrencia • Que riesgos contribuyen en forma significativa la exposición total de sistema? • Una vez identificado el riesgo, podemos: • Prevenirlo: minimizar su probabilidad de ocurrencia • Retenerlo: minimizar sus consecuencias (plan de recupero) • Transferirlo: seguro de perdidas, convenios con otros usuarios, etc.

  16. PC: Plan de contingencias • Realizar el AR • Implantar sistemas de protección física • Implantar sistemas de protección lógica • Confección de un plan de emergencia • Realizar un plan de recupero • Elaboración de documentación • Verificación e implantación del plan • Distribución y mantenimiento del plan

  17. Seguridad Física - Amenazas • Desastres Naturales • Inundaciones • Incendios • Terremotos • …. • Accidentes no provocados • Caídas de tensión • Calor / Humedad • … • Acciones malintencionadas • Atentados, sabotajes, hurtos, interferencias electromagnéticas,…

  18. Seguridad Lógica - SL • En el software de usuario • En el Sistema Operativo • En la Base de Datos • En las Redes

  19. SL – El rol de la criptografía • Identificar que componentes criptográficos hay • Que tipos de criptosistemas • Justificación de su existencia • Rol de la criptografía en el sistema

  20. SL – Software de Usuario • Acceso no autorizado a datos • Programas con puerta de escape • Caballos de troya • Programas ataques salami • Programas con canales ocultos • Programas voraces • Bucles • Virus y gusanos

  21. SL – Software de Usuario • Medidas y técnicas de seguridad • Medidas: • Profilácticas • Subdivisión de tareas, reutilización de código, utilización de herramientas estándares, organización de tareas, entre otras aportadas por la IS • Técnicas: • Revisiones cruzadas • Modularidad, encapsulado y sombreado (Qué y no Cómo) • Pruebas independientes • Gestión de configuración – Control de Cambios

  22. SL – Software de Base • Identificación y autenticación de usuarios • Modelos de seguridad (Sujeto-Objeto) • Discrecional • Matriz de accesos de objetos, sujetos y tipos de accesos • Obligatoria – No discrecionales • Establecen los canales por donde fluyen la información • Modelo BLP (Bell-La Padula)

  23. SL – Bases de datos • El problema de la Inferencia • Bases estadísticas • El problema multinivel • Grandes almacenes de datos con diferentes niveles de confidencialidad y numerosos usuarios autorizados, cada uno con niveles distintos de autorización.-

  24. SL – Redes de computadoras • La seguridad en la red • Uso de cifrado en la red • Cifrado de enlace • Cifrado nodo a nodo • La seguridad de las comunicaciones • Medios físicos de transmisión • Escucha pasiva/activa

  25. Esquemas y protocolos de seguridad • Autenticidad e Integridad • Firma Digital • Métodos • Con arbitro • Firma digital ordinaria • Usos

More Related