Академический Документы
Профессиональный Документы
Культура Документы
Feb-2008
Retos de la Gestin
Disear sistemas que ni estn excesivamente controlados ni demasiado poco controlados y que garanticen la continuidad del negocio Implementar estndares de aseguramiento de la calidad en los grandes proyectos
Cracker.
El que se cuela en un sistema informtico y roba informacin o produce destrozos en el mismo. El que se dedica a desproteger todo tipo de programas, tanto de versiones shareware para hacerlas plenamente operativas como de programas completos comerciales que presentan protecciones anti-copia.
Phreaker.
Es el especialista en telefona (el cracker de los telfonos). Emplea sus conocimientos para poder utilizar las telecomunicaciones gratuitamente.
http://www.derechotecnologico.com/hackers.html
Amenazas
Datos
Usuario
(Identificacin)
Hardware
Software
Las vulnerabilidades ms importantes en Internet Afectan a todos los sistemas 1. Instalaciones por defecto de sistemas y aplicaciones 2. Cuentas sin contrasea o contraseas dbiles 3. Copias de seguridad (backups) incompletos o inexistentes 4. Gran nmero de puertos abiertos 5. Insuficiente filtrado de los paquetes con direcciones de inicio y destino inadecuadas 6. Registro de eventos (logging) incompleto o inexistente 7. Programas CGI vulnerables
http://www.alerta-antivirus.es/
Controles
Mtodos, polticas y procedimientos que aseguran la proteccin de los activos de la empresa Deben asegurar la exactitud y fiabilidad de los registros segn los estndares operativos.
Se debe establecer un marco de referencia que controle el diseo, la seguridad y el uso de los equipos de computo Por otro lado, cada aplicacin debe tener su control de acceso y utilizacin
Sistemas de proteccin
Sistemas tolerantes a fallos: Disponer de componentes Hardware, software y de suministro de energa adicionales que proporcionen un servicio ininterrumpido (o dbilmente interrumpido) Sistemas de Alta disponibilidad: Herramientas y tecnologas que permiten al sistema recuperarse rpidamente de una cada, incluso que la cada de una parte del sistema no tenga efectos en el funcionamiento.
Sistemas de proteccin
Plan de recuperacin de desastres: Plan de contingencia en caso de destruccin
Balance de Carga: Distribuir gran cantidad de peticiones y accesos entre mltiples servidores Mirroring: Duplicar procesos y transacciones de un servidor en un servidor de respaldo para prevenir la interrupcin del servicio Clustering: Enlazar dos (o ms) servidores de forma que aunque caiga alguno de ellos el servicio siga sin interrupcin (aunque a costa de velocidad)
10
Proteccin en Internet
Firewall: impide la entrada a usuarios no autorizados Proxy: controla la salida a Internet de los usuarios autorizados IDS (Intrusion detection system): monitoriza los puntos vulnerables del sistema para detectar usuarios no autorizados
11
Integridad
Los componentes del sistema slo pueden ser creados y modificados por los usuarios autorizados.
Disponibilidad
Los usuarios deben tener disponibles todos los componentes del sistema cuando as lo deseen.
12
13
Seguridad
E-commerce
14
Existen diferentes mtodos de procesar transacciones en una compra, protocolos que lo hacen de manera segura (SSL) La seguridad de un sitio electrnico tiene que ser confiable para que el mismo tenga xito. El ndice de personas que compran en lnea ha crecido bastante en los ltimos aos. Y esto se debe a la confiabilidad que estn brindando los sitios de comercio electrnico.
15
17
Punto1:Usuario conectndose a Punto2 (un sitio de e-commerce como amazon.com) utilizando un navegador Internet Explorer compatible con el protocolo SSL. Punto2:El Punto2 como nombramos es un sitio de e-commerce tradicional (compra / venta) que establece conexiones seguras utilizando SSL para la transacciones, y tambin posee un Firewall para hacer filtrado de paquetes (Packet Filtering) Punto3:Este punto es la autoridad que emite los Certificados de Autenticidad, en ingls Certificate Authority (CA) que por seguridad es recomendable que sea una tercera empresa el emisor del certificado
18
19
SSL
SSL es un protocolo que corre sobre TCP. Este se compone de dos capas y funciona de la siguiente manera: La primera capa se encarga de encapsular los protocolos de nivel ms alto La segunda capa que se llama SSL Handshake Protocol se encarga de la negociacin de los algoritmos que van a encriptar y tambin la autenticacin entre el cliente y el servidor. Cuando se realiza una conexin inicial el cliente lo primero que hace es enviar una informacin con todo los sistemas de encriptacin que soporta. Entonces el servidor responde con una clave certificada e informacin sobre los sistemas de encriptacin que este soporta. Entonces el cliente seleccionar un sistema de encriptacin, tratar de desencriptar el mensaje y obtendr la clave pblica del servidor. Este mtodo de seguridad es bueno ya que por cada conexin que se hace el servidor enva una clave diferente.
20
Certificados
Un Certificate Authority (CA) es generalmente una empresa que emite certificados. Si el CA es una empresa externa que emite certificados de autenticidad de clientes o empresas. Por ejemplo:
<href="http://www.verisign.com/"> Versign.com
21
Un ejemplo
Cuando compramos un libro de amazon.com
Estamos en un sitio comn, la barra de estado del Internet Explorer nos indica que estamos en un sitio de Zona Internet y la direccin en que estamos ubicados comienza con http://
22
Ahora la siguiente pantalla nos mostrar cuando quiero hacer el Check Out o pago de los libros que compr.
Ahora un pequeo candado me indica que estoy en un servidor seguro, y que puedo incluir mis datos. Otro indicador es la direccin de web que ahora comienza con https://. y no con http://. Pero si no confiamos, podemos hacer doble clic sobre el candado amarillo y obtendremos informacin sobre el certificado del servidor amazon.com
23
24
25
Una guia de seguridad, por ejemplo la Guia de Buenas Practicas del British Standards Institute que subyace al proyecto de Norma Internacional 14980 de ISO/IEC para establecer un codigo de practicas para la gestion de seguridad de la informacion Un reglamento de seguridad de cumplimiento obligatorio
27
29
30
Introduccin
MAGERIT = Metodologa de Anlisis y GEstin de Riesgos de los Sistemas de Informacin de las AdminisTraciones Pblicas. Metodologa de implantacin de Sistemas de de Gestin de Seguridad de la Informacin (SGSI). De carcter pblico y elaborada por el Ministerio de Administraciones Pblicas (MAP).
31
Versiones de MAGERIT
Versin 1.0 publicada en 1998. Se presenta en 6 guas metodolgicas: Gua de Aproximacin. Gua de Procedimientos. Gua de Tcnicas. Gua para Desarrolladores de Aplicaciones. Gua para Responsables del Dominio protegible. Referencia de Normas legales y tcnicas.
32
soporte y tratamiento de la informacin. Ejemplos de SI son las bases de datos, disquetes, CDs, etc. SGSI: herramienta de que dispone una organizacin para cumplir con los objetivos de seguridad definidos en su poltica de seguridad: como son la integridad, confidencialidad y disponibilidad de la informacin, etc. Norma UNE 71502:2004: establece los requisitos para implantar, documentar y evaluar un SGSI.
33
34
35
36
37
Riesgo: posibilidad de que se produzca un Impacto dado en la organizacin. El riesgo calculado se compara con el umbral de riesgo, tomando decisiones de reduccin de riesgo en caso de superarlo.
38
39
40
42
44