Академический Документы
Профессиональный Документы
Культура Документы
v 4.1
Material Docente de
Libre Distribucin
Este archivo forma parte de un curso completo sobre Seguridad Informtica y Criptografa. Se autoriza el
uso, reproduccin en computador y su impresin en papel, slo con fines docentes y/o personales,
respetando los crditos del autor. Queda prohibida su comercializacin, excepto la edicin en venta en el
Departamento de Publicaciones de la Escuela Universitaria de Informtica de la Universidad Politcnica de
Madrid, Espaa.
Curso de Seguridad Informtica y Criptografa JRA
Pgina 2
Pgina 3
Temas a tener
Anclajes a mesas de trabajo.
en cuenta en un
Cerraduras en puertas.
entorno de PCs
Tarjetas con alarma.
Etiquetas con adhesivos especiales.
Bloqueo de unidades externas.
Protectores de teclado.
Tarjeta de control de acceso al hardware.
Sistema de suministro continuo de corriente.
Toma de tierra.
Eliminacin de la esttica... etc.
Pgina 4
http://www.csi.map.es/csi/pg5m20.htm
http://www.criptored.upm.es/software/sw_m214_01.htm
Pgina 5
Pgina 6
Pgina 7
Pgina 8
Pgina 9
Pgina 10
Pgina 11
Pgina 12
Cuantificacin de la proteccin
BPL?
Cunta proteccin es necesaria?
Pgina 13
Se
cierra
el
ciclo
Identificar amenazas
3. Identificar posibles
acciones (gasto) y sus
implicaciones (B).
Seleccionar acciones a
implementar.
B PL ?
2. Determinar susceptibilidad.
La probabilidad de prdida (P)
Jorge Rami Aguirre
Pgina 14
Pgina 15
Aspectos administrativos
Polticas administrativas
Se establecen aquellos procedimientos de
carcter administrativo en la organizacin
como por ejemplo en el desarrollo de
programas: modularidad en aplicaciones,
revisin sistemtica, etc.
Se establecen responsabilidades compartidas
por todos los usuarios, cada uno en su nivel.
Se procede a la etapa de concienciacin.
Jorge Rami Aguirre
Pgina 16
Control de accesos
Polticas de control de acceso
Poltica de menor privilegio
Acceso estricto a objetos determinados, con
mnimos privilegios para los usuarios.
Poltica de comparticin
Acceso de mximo privilegio en el que cada
usuario puede acceder a todos los objetos.
Granularidad
Nmero de objetos accesibles. Se habla entonces
de granularidad gruesa y fina.
Jorge Rami Aguirre
Pgina 17
Control de flujo
Polticas de control de flujo
La informacin a la que se accede, se enva y
recibe por:
Canales claros o canales ocultos? Seguros o no?
Pgina 18
Modelos de seguridad
Modelo de Bell LaPadula (BLP)
Rgido. Confidencialidad y con autoridad.
Modelo de Clark-Wilson (CW)
Orientacin comercial: integridad.
Se definirn
brevemente
en prximas
diapositivas
Pgina 19
Secreto mximo
Secreto
No clasificado
http://en.wikipedia.org/wiki/Bell-LaPadula_model
Jorge Rami Aguirre
Pgina 20
Pgina 21
http://www.criptored.upm.es/guiateoria/gt_m248a.htm
http://www.criptored.upm.es/guiateoria/gt_m248e.htm
Chinese Wall
http://www.criptored.upm.es/guiateoria/gt_m248d.htm
http://www.criptored.upm.es/guiateoria/gt_m248f.htm
Pgina 22
Pgina 23
Pgina 24
Pgina 25
Pgina 26
Pgina 27
Pgina 28
Pgina 29
Pgina 30
Pgina 31
Antecedentes
Introduccin
Objeto y campo de la aplicacin
Trminos y definiciones
Poltica de seguridad
Aspectos organizativos para la
seguridad
Clasificacin y control de los
archivos
Seguridad ligada al personal
Pgina 32
Pgina 33
Planes de contingencia
Pgina 34
Pgina 35
Ciclo PDCA
Plan
Poltica y Alcance del sistema
Anlisis de riesgos
Seleccin de controles
Act
Acciones correctivas
Acciones preventivas
Modificacin Plan
Auditora interna
No conformidades
Grado de cumplimiento
Check
Jorge Rami Aguirre
Do
Pgina 36
Huracn
Tormenta
Inundacin
Tornado
Vendaval
Incendio
Terremoto
Otros
Medidas prevencin
Emplazamientos
adecuados
Proteccin fachadas,
ventanas, puertas
Pgina 37
Medidas de prevencin
Fortificacin de entradas
Guardia Jurado
Patrullas de seguridad
Circuito cerrado TV
Control fsico de accesos
Proteccin de software y
hardware con antivirus,
cortafuegos, deteccin de
intrusos, etc.
Seguimiento de las polticas de
seguridad de la empresa.
Pgina 38
Medidas prevencin
Revisar conductos de
agua
Emplazar la sala con los
equipos ms caros en un
sitio libre de estos
problemas
Instalar sistemas de
drenaje de emergencia
Concienciar a nuestros
empleados
Pgina 39
Medidas prevencin
Detector humo y calor
Materiales ignfugos
Almacn de papel
separado de mquinas
Estado del falso suelo
Extintores revisados
Es la amenaza ms temida por
su rpido poder destructor.
Pgina 40
Pgina 41
Pgina 42
Prdida de clientes.
Prdida de imagen.
Prdida de ingresos por beneficios.
Prdida de ingresos por ventas y cobros.
Prdida de ingresos por produccin.
Prdida de competitividad en el mercado.
Prdida de credibilidad en el sector.
Pgina 43
Plan de recuperacin
Acciones tendentes a volver a la situacin que
exista antes del desastre.
http://recovery-disaster.info/index.htm
Jorge Rami Aguirre
Pgina 44
Pgina 45
Cuestiones y ejercicios (1 de 2)
1. Qu es y qu significa hacer un anlisis de riesgos?
2. Explique el sentido de las ecuaciones B > PL y B PL.
3. Tras un estudio, obtenemos B > PL, podemos estar totalmente
tranquilos al no utilizar medida alguna de prevencin?
4. Explique qu significan los factores L y P en la ecuacin B > PL.
5. Cules son los pasos a seguir en un anlisis de riesgo de acuerdo a
los factores de la ecuacin de B > PL?
6. En algunos sistemas de gestin de informacin a veces prima ms el
elemento confidencialidad, en cambio en otros ms el de integridad.
D algunos ejemplos en que pueda cumplirse al menos en parte este
escenario. Qu opina respecto a una transaccin electrnica?
7. Comente el modelo de seguridad de Bell Lapadula. Por qu se le
llama el modelo de la tranquilidad?
Jorge Rami Aguirre
Pgina 46
Cuestiones y ejercicios (2 de 2)
8. Ud. es el responsable de seguridad y detecta que un empleado est
robando informacin confidencial, cmo reaccionara?
9. Cules pueden ser las prdidas en una empresa si no se cuenta con
un adecuado Plan de Contingencia y sucede un desastre?
10. Qu es un Plan de Contingencia y por qu es importante?
11. Nuestra empresa est a medias entre el rubro distribucin y el de las
finanzas. Resulta estratgico tener aqu un Plan de Contingencia?
12. Qu soluciones tenemos para que un banco no se vea afectado por
un desastre y pueda seguir trabajando con sus clientes con un
tiempo de recuperacin bajo o mnimo? Cmo sera su coste?
13. Se pueden prever situaciones extremas como lo acontecido con las
torres gemelas? En que tipo de empresas o instituciones no deben
descartarse estos extremos? En una empresa que vende coches?
Jorge Rami Aguirre