![Page 1: Tecnologías de Red aplicables al comercio electrónico Conceptos y Prácticas de Seguridad Informática Antonio Sanz – ansanz@unizar.es](https://reader035.vdocuments.pub/reader035/viewer/2022062500/5665b4991a28abb57c92839a/html5/thumbnails/1.jpg)
Tecnologías de Red aplicables al comercio electrónico
Conceptos y Prácticas de Seguridad Informática
Antonio Sanz – [email protected]
![Page 2: Tecnologías de Red aplicables al comercio electrónico Conceptos y Prácticas de Seguridad Informática Antonio Sanz – ansanz@unizar.es](https://reader035.vdocuments.pub/reader035/viewer/2022062500/5665b4991a28abb57c92839a/html5/thumbnails/2.jpg)
Seguridad Informática : Conceptos y prácticas
Indice
Seguridad Informática
Conceptos básicos
Requisitos de Seguridad
Tipos de amenazas
Herramientas de seguridad
Plan de Seguridad
Prácticas básicas
![Page 3: Tecnologías de Red aplicables al comercio electrónico Conceptos y Prácticas de Seguridad Informática Antonio Sanz – ansanz@unizar.es](https://reader035.vdocuments.pub/reader035/viewer/2022062500/5665b4991a28abb57c92839a/html5/thumbnails/3.jpg)
Seguridad Informática : Conceptos y prácticas
Al finalizar la charla sabrá...
Conocer el pensamiento de Seguridad
Conocer al enemigo
Conocer los ataques
Conocer las herramientas
Conocer las defensas
![Page 4: Tecnologías de Red aplicables al comercio electrónico Conceptos y Prácticas de Seguridad Informática Antonio Sanz – ansanz@unizar.es](https://reader035.vdocuments.pub/reader035/viewer/2022062500/5665b4991a28abb57c92839a/html5/thumbnails/4.jpg)
Seguridad Informática : Conceptos y prácticas
Seguridad Informática
Sistema Seguro
“Un sistema es seguro si en todo momento se comporta como lo desea su propietario”
Áreas de Seguridad Informática
• Sistemas Operativos (Windows, Linux, Mac )• Aplicaciones ( IIS, Apache, Word )• Redes ( LAN, WAN, WLAN )• Datos ( LOPD )• Fisica ( alarmas, controles de acceso )
![Page 5: Tecnologías de Red aplicables al comercio electrónico Conceptos y Prácticas de Seguridad Informática Antonio Sanz – ansanz@unizar.es](https://reader035.vdocuments.pub/reader035/viewer/2022062500/5665b4991a28abb57c92839a/html5/thumbnails/5.jpg)
Seguridad Informática : Conceptos y prácticas
Conceptos básicos (I)
Seguridad absoluta
• Inexistente• Objetivo : Agotar los recursos del enemigo
(moral, tiempo o dinero)
Seguridad mesurada
• Asignar recursos de forma eficiente
![Page 6: Tecnologías de Red aplicables al comercio electrónico Conceptos y Prácticas de Seguridad Informática Antonio Sanz – ansanz@unizar.es](https://reader035.vdocuments.pub/reader035/viewer/2022062500/5665b4991a28abb57c92839a/html5/thumbnails/6.jpg)
Seguridad Informática : Conceptos y prácticas
Conceptos básicos (II)
Seguridad vs Usabilidad
• Balanza peligrosa (cuidado con los extremos)• Objetivo: Lograr un equilibrio satisfactorio
Mínimo privilegio
• Todos los recursos de la red deberán solo los permisos necesarios para cumplir su tarea
![Page 7: Tecnologías de Red aplicables al comercio electrónico Conceptos y Prácticas de Seguridad Informática Antonio Sanz – ansanz@unizar.es](https://reader035.vdocuments.pub/reader035/viewer/2022062500/5665b4991a28abb57c92839a/html5/thumbnails/7.jpg)
Seguridad Informática : Conceptos y prácticas
Conceptos básicos (III)
Seguridad en profundidad
• No depender de un solo elemento• Modelo de seguridad en capas
Seguridad mediante oscuridad
• Dificulta los ataques• Nunca debe confiarse únicamente en ella
![Page 8: Tecnologías de Red aplicables al comercio electrónico Conceptos y Prácticas de Seguridad Informática Antonio Sanz – ansanz@unizar.es](https://reader035.vdocuments.pub/reader035/viewer/2022062500/5665b4991a28abb57c92839a/html5/thumbnails/8.jpg)
Seguridad Informática : Conceptos y prácticas
Conceptos básicos (IV)
Seguridad Homogénea
• La seguridad de un sistema es la del eslabón más débil
• Cuidar todos los aspectos de la seguridad
Seguridad Evolutiva
• Campo cambiante a gran velocidad• Es necesario mantenerse al día
![Page 9: Tecnologías de Red aplicables al comercio electrónico Conceptos y Prácticas de Seguridad Informática Antonio Sanz – ansanz@unizar.es](https://reader035.vdocuments.pub/reader035/viewer/2022062500/5665b4991a28abb57c92839a/html5/thumbnails/9.jpg)
Seguridad Informática : Conceptos y prácticas
Requisitos de seguridad (I)
Requisitos de Seguridad
• Control de Acceso• Confidencialidad• Integridad• Disponibilidad
Se deberán establecer los requisitos deseados para cada sistema
El objetivo final de la Seguridad es cumplir dichos requisitos
![Page 10: Tecnologías de Red aplicables al comercio electrónico Conceptos y Prácticas de Seguridad Informática Antonio Sanz – ansanz@unizar.es](https://reader035.vdocuments.pub/reader035/viewer/2022062500/5665b4991a28abb57c92839a/html5/thumbnails/10.jpg)
Seguridad Informática : Conceptos y prácticas
Requisitos de seguridad (II)
Control de Acceso / Autenticación
• Identificación de los elementos que acceden a nuestro sistema
• Asignación de los permisos de cada elemento de la red
Confidencialidad
• La información es valiosa• Impedir el acceso no autorizado
![Page 11: Tecnologías de Red aplicables al comercio electrónico Conceptos y Prácticas de Seguridad Informática Antonio Sanz – ansanz@unizar.es](https://reader035.vdocuments.pub/reader035/viewer/2022062500/5665b4991a28abb57c92839a/html5/thumbnails/11.jpg)
Seguridad Informática : Conceptos y prácticas
Requisitos de seguridad (III)
Integridad / No repudio
• Impedir la manipulación de la información• Identificación unívoca
Disponibilidad
• Los servicios deben estar siempre activos• 24 x 7 x 365 x ...
![Page 12: Tecnologías de Red aplicables al comercio electrónico Conceptos y Prácticas de Seguridad Informática Antonio Sanz – ansanz@unizar.es](https://reader035.vdocuments.pub/reader035/viewer/2022062500/5665b4991a28abb57c92839a/html5/thumbnails/12.jpg)
Seguridad Informática : Conceptos y prácticas
Tipos de amenazas
Tipos de atacantes
Ataques realizables
Posibles daños
![Page 13: Tecnologías de Red aplicables al comercio electrónico Conceptos y Prácticas de Seguridad Informática Antonio Sanz – ansanz@unizar.es](https://reader035.vdocuments.pub/reader035/viewer/2022062500/5665b4991a28abb57c92839a/html5/thumbnails/13.jpg)
Seguridad Informática : Conceptos y prácticas
Tipos de atacantes (I)
Hacker
• Hack: 1) Cortar en tajos. 2) Encontrar una solución eficaz y brillante a un problema
• Hacker: Persona con abundantes conocimientos de informática y redes, que explora (o penetra en) sistemas por puro reto
• Hacker = Intruso malvado Incorrecto.Blanco / Negro Diversos tonos de gris
![Page 14: Tecnologías de Red aplicables al comercio electrónico Conceptos y Prácticas de Seguridad Informática Antonio Sanz – ansanz@unizar.es](https://reader035.vdocuments.pub/reader035/viewer/2022062500/5665b4991a28abb57c92839a/html5/thumbnails/14.jpg)
Seguridad Informática : Conceptos y prácticas
Tipos de atacantes (II)
Cracker: ( Doble definición )
• Persona que rompe códigos de protección (“cracks”)
• “Hacker” que penetra en sistemas en beneficio propio (monetario, social o por pura diversión destructiva)
• Conocimientos extensos de seguridad
• Definitivamente, “el lado oscuro
![Page 15: Tecnologías de Red aplicables al comercio electrónico Conceptos y Prácticas de Seguridad Informática Antonio Sanz – ansanz@unizar.es](https://reader035.vdocuments.pub/reader035/viewer/2022062500/5665b4991a28abb57c92839a/html5/thumbnails/15.jpg)
Seguridad Informática : Conceptos y prácticas
Tipos de atacantes (III)
Script Kiddies
• Conocimientos básicos de seguridad• Pueden causar graves daños (herramientas
precocinadas)
Newbies
• Principiantes, conocimientos básicos de seguridad
Lamers • Conocimientos nulos de informática
![Page 16: Tecnologías de Red aplicables al comercio electrónico Conceptos y Prácticas de Seguridad Informática Antonio Sanz – ansanz@unizar.es](https://reader035.vdocuments.pub/reader035/viewer/2022062500/5665b4991a28abb57c92839a/html5/thumbnails/16.jpg)
Seguridad Informática : Conceptos y prácticas
Tipos de ataques (I)
Identificación del sistema o fingerprinting
• Búsqueda de información pública• Ingenieria social
Barrido de puertos o portscanning
• Análisis de equipos y servicios
![Page 17: Tecnologías de Red aplicables al comercio electrónico Conceptos y Prácticas de Seguridad Informática Antonio Sanz – ansanz@unizar.es](https://reader035.vdocuments.pub/reader035/viewer/2022062500/5665b4991a28abb57c92839a/html5/thumbnails/17.jpg)
Seguridad Informática : Conceptos y prácticas
Tipos de ataques ( II )
Análisis de vulnerabilidades
• Con la información obtenida, se buscan vulnerabilidades correspondientes a los Sistemas Operativos y servicios existentes en el sistema
Penetración en el sistema
• Explotación de una vulnerabilidad en el sistema cabeza de puente
• Acciones automáticas: camuflaje y expansión
![Page 18: Tecnologías de Red aplicables al comercio electrónico Conceptos y Prácticas de Seguridad Informática Antonio Sanz – ansanz@unizar.es](https://reader035.vdocuments.pub/reader035/viewer/2022062500/5665b4991a28abb57c92839a/html5/thumbnails/18.jpg)
Seguridad Informática : Conceptos y prácticas
Tipos de ataques ( III )
Intercepción de contraseñas
Rotura de contraseñas (fuerza bruta)
Falsificación de la identidad
Robo de información
Destrucción de datos
Denegación de servicio
![Page 19: Tecnologías de Red aplicables al comercio electrónico Conceptos y Prácticas de Seguridad Informática Antonio Sanz – ansanz@unizar.es](https://reader035.vdocuments.pub/reader035/viewer/2022062500/5665b4991a28abb57c92839a/html5/thumbnails/19.jpg)
Seguridad Informática : Conceptos y prácticas
Posibles daños
Robo de Información
Pérdida de datos
Disrupción del servicio
Pérdida de imagen
Posible responsabilidad legal
![Page 20: Tecnologías de Red aplicables al comercio electrónico Conceptos y Prácticas de Seguridad Informática Antonio Sanz – ansanz@unizar.es](https://reader035.vdocuments.pub/reader035/viewer/2022062500/5665b4991a28abb57c92839a/html5/thumbnails/20.jpg)
Seguridad Informática : Conceptos y prácticas
Herramientas de Seguridad (I)
Herramientas que permiten verificar o aumentar el nivel de seguridad de un sistema
Usadas tanto por atacantes como defensores
Gran variedad: gratuitas, comerciales, bajo Linux, Windows, etc...
![Page 21: Tecnologías de Red aplicables al comercio electrónico Conceptos y Prácticas de Seguridad Informática Antonio Sanz – ansanz@unizar.es](https://reader035.vdocuments.pub/reader035/viewer/2022062500/5665b4991a28abb57c92839a/html5/thumbnails/21.jpg)
Seguridad Informática : Conceptos y prácticas
Herramientas de Seguridad (II)
Cortafuegos o firewalls
• Ejercen un control sobre el tráfico entrante y saliente a un sistema
• Hardware & Software• Ej: IpTables, Firewall-1, Cisco PIX
Detectores de intrusos o IDS
• Detectan posibles ataques en un sistema, pudiendo activar alarmas o ejercer respuesta coordinada
• Ej: Snort, Real Secure
![Page 22: Tecnologías de Red aplicables al comercio electrónico Conceptos y Prácticas de Seguridad Informática Antonio Sanz – ansanz@unizar.es](https://reader035.vdocuments.pub/reader035/viewer/2022062500/5665b4991a28abb57c92839a/html5/thumbnails/22.jpg)
Seguridad Informática : Conceptos y prácticas
Herramientas de Seguridad (III)
Verificadores de la integridad
• Permiten detectar la manipulación de un sistema
• Ej: Tripwire
Analizadores de logs
• Permiten procesar de forma automática los logs de un sistema en tiempo real y emitir alarmas
• Ej: Swatch, LogWatch
![Page 23: Tecnologías de Red aplicables al comercio electrónico Conceptos y Prácticas de Seguridad Informática Antonio Sanz – ansanz@unizar.es](https://reader035.vdocuments.pub/reader035/viewer/2022062500/5665b4991a28abb57c92839a/html5/thumbnails/23.jpg)
Seguridad Informática : Conceptos y prácticas
Herramientas de Seguridad (IV)
Analizadores de puertos
• Barren una red en busca de máquinas y servicios activos
• Ej: nmap, PortScan, fport
Detectores de vulnerabilidades
• Analizan una red en busca de vulnerabilidades conocidas
• Ej: Nessus, Cybercop Scanner, ISS, Saint
![Page 24: Tecnologías de Red aplicables al comercio electrónico Conceptos y Prácticas de Seguridad Informática Antonio Sanz – ansanz@unizar.es](https://reader035.vdocuments.pub/reader035/viewer/2022062500/5665b4991a28abb57c92839a/html5/thumbnails/24.jpg)
Seguridad Informática : Conceptos y prácticas
Herramientas de Seguridad (V)
Sniffers
• Capturan el tráfico que circula por una red (contraseñas y datos, por ejemplo)
• Ej: Ethereal, Sniffer, Iris, Analyzer
Password crackers
• Utilizan técnicas de diccionario y fuerza bruta para obtener las contraseñas de acceso a un sistema
• Ej: LC3, Crack, John the Ripper
![Page 25: Tecnologías de Red aplicables al comercio electrónico Conceptos y Prácticas de Seguridad Informática Antonio Sanz – ansanz@unizar.es](https://reader035.vdocuments.pub/reader035/viewer/2022062500/5665b4991a28abb57c92839a/html5/thumbnails/25.jpg)
Seguridad Informática : Conceptos y prácticas
Herramientas de Seguridad (VI)
Troyanos
• Programas que se instalan en un sistema de forma no deseada
• Ej: Back Oriffice , SubSeven.
Rootkits
• Programas destinados a facilitar la ocultación y expansión de un intruso
![Page 26: Tecnologías de Red aplicables al comercio electrónico Conceptos y Prácticas de Seguridad Informática Antonio Sanz – ansanz@unizar.es](https://reader035.vdocuments.pub/reader035/viewer/2022062500/5665b4991a28abb57c92839a/html5/thumbnails/26.jpg)
Seguridad Informática : Conceptos y prácticas
Libros y enlaces de interés
Criptonomicón:www.iec.csic.es/criptonomicon SecurityFocus:www.securityfocus.com Kriptópolis:www.kriptopolis.com Hispasec:www.hispasec.com CERT:www.cert.com SecurityPortal:www.securityportal.com
Phrack:www.phrack.org/
Insecure.orgwww.insecure.org
“Seguridad Práctica en Unix e Internet” , 2ª Ed.Simson Garfinkel & Gene Spafford - O’Reilly
“Hacking Exposed 3rd Edition” - Stuart McClure – McGraw Hill (La 2ºEd en castellano: “Hackers 2” – Stuart McClure – McGraw Hill
“Seguridad en Servidores NT/2000 para Internet” – Stefan Norberg, Deborah Russell – O’Reilly
“Seguridad y Comercio en el Web” - Simson Garfinkel & Gene Spafford - O’Reilly
“Building Internet Firewalls” – Chapman & Zwicky, Ed. O’Reilly
![Page 27: Tecnologías de Red aplicables al comercio electrónico Conceptos y Prácticas de Seguridad Informática Antonio Sanz – ansanz@unizar.es](https://reader035.vdocuments.pub/reader035/viewer/2022062500/5665b4991a28abb57c92839a/html5/thumbnails/27.jpg)
Seguridad Informática : Conceptos y prácticas
Dudas, preguntas, aclaraciones, pipas,
caramelos...
¿?
![Page 28: Tecnologías de Red aplicables al comercio electrónico Conceptos y Prácticas de Seguridad Informática Antonio Sanz – ansanz@unizar.es](https://reader035.vdocuments.pub/reader035/viewer/2022062500/5665b4991a28abb57c92839a/html5/thumbnails/28.jpg)
Tecnologías de Red aplicables al comercio electrónico
Prácticas básicas de Seguridad Informática
Antonio Sanz – Responsable de Seguridad Informática
![Page 29: Tecnologías de Red aplicables al comercio electrónico Conceptos y Prácticas de Seguridad Informática Antonio Sanz – ansanz@unizar.es](https://reader035.vdocuments.pub/reader035/viewer/2022062500/5665b4991a28abb57c92839a/html5/thumbnails/29.jpg)
Seguridad Informática : Conceptos y prácticas
Indice
Introducción y Objetivos
Prácticas básicas
Bibliografía y enlaces de interés
![Page 30: Tecnologías de Red aplicables al comercio electrónico Conceptos y Prácticas de Seguridad Informática Antonio Sanz – ansanz@unizar.es](https://reader035.vdocuments.pub/reader035/viewer/2022062500/5665b4991a28abb57c92839a/html5/thumbnails/30.jpg)
Seguridad Informática : Conceptos y prácticas
Introducción
Internet : Evolución vertiginosa
Conexión fácil, barata y rápida
Gran cantidad de inversión en desarrollo de negocio Internet
Escasa inversión en seguridad
Muy poca conciencia de seguridad
![Page 31: Tecnologías de Red aplicables al comercio electrónico Conceptos y Prácticas de Seguridad Informática Antonio Sanz – ansanz@unizar.es](https://reader035.vdocuments.pub/reader035/viewer/2022062500/5665b4991a28abb57c92839a/html5/thumbnails/31.jpg)
Seguridad Informática : Conceptos y prácticas
Objetivos
Obtener un buen nivel de seguridad en nuestro sistema
Aplicable tanto a una red corporativa como a un usuario casero
Se aplica perfectamente la ley del 80/20 20% del esfuerzo = 80% de seguridad
![Page 32: Tecnologías de Red aplicables al comercio electrónico Conceptos y Prácticas de Seguridad Informática Antonio Sanz – ansanz@unizar.es](https://reader035.vdocuments.pub/reader035/viewer/2022062500/5665b4991a28abb57c92839a/html5/thumbnails/32.jpg)
Seguridad Informática : Conceptos y prácticas
Seguridad: Topología
Tener en cuenta la seguridad a la hora de diseñar una red
Cortafuegos / Routers con filtrado (boxes & cortafuegos personales)
Separar los servidores de la LAN
Sistemas de seguridad critica aparte
![Page 33: Tecnologías de Red aplicables al comercio electrónico Conceptos y Prácticas de Seguridad Informática Antonio Sanz – ansanz@unizar.es](https://reader035.vdocuments.pub/reader035/viewer/2022062500/5665b4991a28abb57c92839a/html5/thumbnails/33.jpg)
Seguridad Informática : Conceptos y prácticas
Seguridad : Backups
Aspecto vital de la seguridad
Medios de backup baratos
Copias incrementales (diarias, semanales y mensuales)
Imágenes de los SO
![Page 34: Tecnologías de Red aplicables al comercio electrónico Conceptos y Prácticas de Seguridad Informática Antonio Sanz – ansanz@unizar.es](https://reader035.vdocuments.pub/reader035/viewer/2022062500/5665b4991a28abb57c92839a/html5/thumbnails/34.jpg)
Seguridad Informática : Conceptos y prácticas
Seguridad : Parches
Aspecto muy importante Ataque = sistema o programa no actualizado
Mantener los equipos parcheados siempre que sea posible
Integrarlo dentro del mantenimiento del equipo
Muy importante en servidores
![Page 35: Tecnologías de Red aplicables al comercio electrónico Conceptos y Prácticas de Seguridad Informática Antonio Sanz – ansanz@unizar.es](https://reader035.vdocuments.pub/reader035/viewer/2022062500/5665b4991a28abb57c92839a/html5/thumbnails/35.jpg)
Seguridad Informática : Conceptos y prácticas
Seguridad : Antivirus
Antivirus en TODO el sistema
Actualización constante
Características especiales Usarlas
Scan de virus periódico y automatizado
Formación antivirus a los usuarios
![Page 36: Tecnologías de Red aplicables al comercio electrónico Conceptos y Prácticas de Seguridad Informática Antonio Sanz – ansanz@unizar.es](https://reader035.vdocuments.pub/reader035/viewer/2022062500/5665b4991a28abb57c92839a/html5/thumbnails/36.jpg)
Seguridad Informática : Conceptos y prácticas
Seguridad : Cortafuegos
Cortafuegos: Principal barrera de defensa de un sistema informático ( = muro de un castillo medieval)
Instalar un cortafuegos entre nuestra red e Internet
Cortafuegos personales interesantes para equipos personales o móviles
![Page 37: Tecnologías de Red aplicables al comercio electrónico Conceptos y Prácticas de Seguridad Informática Antonio Sanz – ansanz@unizar.es](https://reader035.vdocuments.pub/reader035/viewer/2022062500/5665b4991a28abb57c92839a/html5/thumbnails/37.jpg)
Seguridad Informática : Conceptos y prácticas
Seguridad : Correo electrónico
Principal fuente de entrada de virus
Educación de los usuarios:
• No abrir ficheros adjuntos desconocidos• Preguntar al remitente la razón del fichero• Utilizar el antivirus• Abrir únicamente .jpg .gif .txt .html• Nunca abrir .exe .bat .vbs .ini
Emplear cifrado
Tener cuidado con los webmails
![Page 38: Tecnologías de Red aplicables al comercio electrónico Conceptos y Prácticas de Seguridad Informática Antonio Sanz – ansanz@unizar.es](https://reader035.vdocuments.pub/reader035/viewer/2022062500/5665b4991a28abb57c92839a/html5/thumbnails/38.jpg)
Seguridad Informática : Conceptos y prácticas
Seguridad : Navegación web
Contraseñas almacenadas en el navegador
Información sensible protección SSL
Control de cookies & web bugs
Navegación anónima
![Page 39: Tecnologías de Red aplicables al comercio electrónico Conceptos y Prácticas de Seguridad Informática Antonio Sanz – ansanz@unizar.es](https://reader035.vdocuments.pub/reader035/viewer/2022062500/5665b4991a28abb57c92839a/html5/thumbnails/39.jpg)
Seguridad Informática : Conceptos y prácticas
Seguridad :Otros programas de comunicaciones
Programas de chat
Programas de mensajería instantánea (Messenger, Yahoo Pager, ICQ)
Programas de intercambio multimedia
![Page 40: Tecnologías de Red aplicables al comercio electrónico Conceptos y Prácticas de Seguridad Informática Antonio Sanz – ansanz@unizar.es](https://reader035.vdocuments.pub/reader035/viewer/2022062500/5665b4991a28abb57c92839a/html5/thumbnails/40.jpg)
Seguridad Informática : Conceptos y prácticas
Seguridad : Física & Operativa
Salvapantallas protegido por contraseña
Arranque desde el disco duro únicamente
Protección de la BIOS con contraseña
Gestión de contraseñas
Empleo de cifrado interno
![Page 41: Tecnologías de Red aplicables al comercio electrónico Conceptos y Prácticas de Seguridad Informática Antonio Sanz – ansanz@unizar.es](https://reader035.vdocuments.pub/reader035/viewer/2022062500/5665b4991a28abb57c92839a/html5/thumbnails/41.jpg)
Seguridad Informática : Conceptos y prácticas
Seguridad : Formación
Internet cambios muy rápidos
Importante estar al día
Apoyo de la dirección
Concienciación de los usuarios
![Page 42: Tecnologías de Red aplicables al comercio electrónico Conceptos y Prácticas de Seguridad Informática Antonio Sanz – ansanz@unizar.es](https://reader035.vdocuments.pub/reader035/viewer/2022062500/5665b4991a28abb57c92839a/html5/thumbnails/42.jpg)
Seguridad Informática : Conceptos y prácticas
Conclusiones
Importancia
Necesidad
Concienciación
Aplicación efectiva
Evolución
![Page 43: Tecnologías de Red aplicables al comercio electrónico Conceptos y Prácticas de Seguridad Informática Antonio Sanz – ansanz@unizar.es](https://reader035.vdocuments.pub/reader035/viewer/2022062500/5665b4991a28abb57c92839a/html5/thumbnails/43.jpg)
Seguridad Informática : Conceptos y prácticas
Enlaces de interés
Cortafuegos Box: http://www.watchguard.com/http://www.intrusion.com/http://www.gnatbox.com/ Cómo montar un cortafuegos con Linux:http://www.linuxdoc.org/HOWTO/Firewall-HOWTO.htmlhttp://www.linux-firewall-tools.com/linux/ Cómo poner ACL en router Cisco:http://www.cisco.com/warp/public/cc/pd/iosw/ioft/iofwft/index.shtml
Información sobre virus:http://virusattack.xnetwork.com.ar/home/index.php3http://www.alerta-antivirus.es/ Comparativas de software antivirus:http://www.hispasec.com/comparativa2001.asphttp://www.terra.es/informatica/articulo/html/inf2318.htm
PGP Internacional ( Windows y Mac ):http://www.pgp.com/downloads/default.asp GnuPG ( Unix/Linux, Windows y Mac ):http://www.gnupg.org/
Configuración segura de su navegador web:http://www.iec.csic.es/criptonomicon/info.htmlhttp://www.iec.csic.es/criptonomicon/navegador/
Información sobre cookies:
http://www.iec.csic.es/criptonomicon/cookies/
Más información acerca de SSL:
http://www.iti.upv.es/seguridad/ssl.html
Cómo añadir SSL a su servidor Web:
Windows + IIS : http://support.microsoft.com/support/kb/articles/Q228/9/91.ASP
Linux + Apache : http://www.securityfocus.com/focus/sun/articles/apache-inst.html
Cómo obtener un certificado digital:
www.verisign.com
www.ipsca.com
Salvapantallas para Linux:
http://www.linuxgazette.com/issue18/xlock.html
![Page 44: Tecnologías de Red aplicables al comercio electrónico Conceptos y Prácticas de Seguridad Informática Antonio Sanz – ansanz@unizar.es](https://reader035.vdocuments.pub/reader035/viewer/2022062500/5665b4991a28abb57c92839a/html5/thumbnails/44.jpg)
Seguridad Informática : Conceptos y prácticas
Enlaces de interés
Protección del LILO en el arranque:
http://www.linux4biz.net/articles/articlelilo.htm
Gestor de contraseñas:
http://www.counterpane.com/passsafe.html
PgpDisk:
http://www.pgp.com/products/disk-encryption/default.asp
Últimas versiones del Mirc , ICQ & Messenger :
http://www.mirc.org/
http://www.icq.com/products/
http://messenger.msn.es/Default.asp
Jabber: (pasarela IM)
http://www.jabber.com/index.shtml
Algunos cortafuegos personales:
http://www.zonealarm.com/
http://www.symantec.com/sabu/nis/npf/
Cómo hacer un backup:
Linux – Amanda : http://sourceforge.net/projects/amanda/
Windows – Backup : http://www.microsoft.com/intlkb/spain/e11/2/56.asp#1
Cómo hacer una imagen de su equipo:
http://www.symantec.com/sabu/ghost/ghost_personal/
Criptonomicón:
www.iec.csic.es/criptonomicon
SecurityFocus:
www.securityfocus.com
Kriptópolis:
www.kriptopolis.com
Hispasec:
www.hispasec.com
CERT:
www.cert.com
SecurityPortal:
www.securityportal.com
![Page 45: Tecnologías de Red aplicables al comercio electrónico Conceptos y Prácticas de Seguridad Informática Antonio Sanz – ansanz@unizar.es](https://reader035.vdocuments.pub/reader035/viewer/2022062500/5665b4991a28abb57c92839a/html5/thumbnails/45.jpg)
Seguridad Informática : Conceptos y prácticas
Preguntas
Última oportunidad de satisfacer su curiosidad...
¿?
![Page 46: Tecnologías de Red aplicables al comercio electrónico Conceptos y Prácticas de Seguridad Informática Antonio Sanz – ansanz@unizar.es](https://reader035.vdocuments.pub/reader035/viewer/2022062500/5665b4991a28abb57c92839a/html5/thumbnails/46.jpg)
Tecnologías de Red aplicables al comercio electrónico
Planes de Seguridad Informática
Antonio Sanz – [email protected]
![Page 47: Tecnologías de Red aplicables al comercio electrónico Conceptos y Prácticas de Seguridad Informática Antonio Sanz – ansanz@unizar.es](https://reader035.vdocuments.pub/reader035/viewer/2022062500/5665b4991a28abb57c92839a/html5/thumbnails/47.jpg)
Seguridad Informática : Conceptos y prácticas
Indice
Introducción
Problemática de Seguridad
Definición de un Plan de Seguridad
Ciclo de vida de un PdS
Aspectos a tratar en un Pds
![Page 48: Tecnologías de Red aplicables al comercio electrónico Conceptos y Prácticas de Seguridad Informática Antonio Sanz – ansanz@unizar.es](https://reader035.vdocuments.pub/reader035/viewer/2022062500/5665b4991a28abb57c92839a/html5/thumbnails/48.jpg)
Seguridad Informática : Conceptos y prácticas
Problemática de Seguridad
Ideológica
Estructural
Tecnológica
![Page 49: Tecnologías de Red aplicables al comercio electrónico Conceptos y Prácticas de Seguridad Informática Antonio Sanz – ansanz@unizar.es](https://reader035.vdocuments.pub/reader035/viewer/2022062500/5665b4991a28abb57c92839a/html5/thumbnails/49.jpg)
Seguridad Informática : Conceptos y prácticas
Problemática de Seguridad ( II )
Ideológica
•No obstaculizar el proceso de negocio
•Nadie se hace responsable de los riesgos
•Se actúa de modo reactivo, nunca preventivo
•No se conoce el estado real de seguridad
![Page 50: Tecnologías de Red aplicables al comercio electrónico Conceptos y Prácticas de Seguridad Informática Antonio Sanz – ansanz@unizar.es](https://reader035.vdocuments.pub/reader035/viewer/2022062500/5665b4991a28abb57c92839a/html5/thumbnails/50.jpg)
Seguridad Informática : Conceptos y prácticas
Problemática de Seguridad ( III )
Estructural
• Falta de responsabilidades establecidas
• No hay normas definidas
• No homogeneidad de los sistemas
• No existe una asignación de recursos de seguridad
![Page 51: Tecnologías de Red aplicables al comercio electrónico Conceptos y Prácticas de Seguridad Informática Antonio Sanz – ansanz@unizar.es](https://reader035.vdocuments.pub/reader035/viewer/2022062500/5665b4991a28abb57c92839a/html5/thumbnails/51.jpg)
Seguridad Informática : Conceptos y prácticas
Problemática de Seguridad ( IV )
Tecnológica
• No se conoce la propia red
• No se conoce la Tecnología de Seguridad
• Sensación de Falsa Seguridad
![Page 52: Tecnologías de Red aplicables al comercio electrónico Conceptos y Prácticas de Seguridad Informática Antonio Sanz – ansanz@unizar.es](https://reader035.vdocuments.pub/reader035/viewer/2022062500/5665b4991a28abb57c92839a/html5/thumbnails/52.jpg)
Seguridad Informática : Conceptos y prácticas
Problemática de Seguridad ( V )
Conclusiones:
• Existe una clara falta de conocimiento de Seguridad
• Nadie quiere gastar dinero en Seguridad
• La Seguridad se ve como un estorbo
• Poco apoyo de la dirección
• Mal vista por parte de los usuarios
![Page 53: Tecnologías de Red aplicables al comercio electrónico Conceptos y Prácticas de Seguridad Informática Antonio Sanz – ansanz@unizar.es](https://reader035.vdocuments.pub/reader035/viewer/2022062500/5665b4991a28abb57c92839a/html5/thumbnails/53.jpg)
Seguridad Informática : Conceptos y prácticas
Problemática de Seguridad ( VI )
Argumentos a favor de la Seguridad:
• La Seguridad es cada día más importante( http://www.cert.org/stats/cert_stats.html ) • Inversión en Seguridad = Póliza de Seguros
• Cortafuegos = Extintor
![Page 54: Tecnologías de Red aplicables al comercio electrónico Conceptos y Prácticas de Seguridad Informática Antonio Sanz – ansanz@unizar.es](https://reader035.vdocuments.pub/reader035/viewer/2022062500/5665b4991a28abb57c92839a/html5/thumbnails/54.jpg)
Seguridad Informática : Conceptos y prácticas
Problemática de Seguridad ( VII )
• La Seguridad no es cara ni complicada
• Una red segura es mucho más eficiente y robusta es más rentable
• Hacia la dirección Convicción
• Hacia los usuarios Concienciación
![Page 55: Tecnologías de Red aplicables al comercio electrónico Conceptos y Prácticas de Seguridad Informática Antonio Sanz – ansanz@unizar.es](https://reader035.vdocuments.pub/reader035/viewer/2022062500/5665b4991a28abb57c92839a/html5/thumbnails/55.jpg)
Seguridad Informática : Conceptos y prácticas
Plan de Seguridad
Plan de Seguridad :
“ Conjunto de normas, políticas y procedimientos destinados a satisfacer unas necesidades de
seguridad de un entorno definido”
![Page 56: Tecnologías de Red aplicables al comercio electrónico Conceptos y Prácticas de Seguridad Informática Antonio Sanz – ansanz@unizar.es](https://reader035.vdocuments.pub/reader035/viewer/2022062500/5665b4991a28abb57c92839a/html5/thumbnails/56.jpg)
Seguridad Informática : Conceptos y prácticas
Plan de Seguridad ( II )
Un Plan de Seguridad permite:
• Analizar las necesidades de seguridad
• Detectar los elementos críticos
• Valorar los riesgos
• Diseñar medidas de seguridad
Metodología modular : sencilla y completa
![Page 57: Tecnologías de Red aplicables al comercio electrónico Conceptos y Prácticas de Seguridad Informática Antonio Sanz – ansanz@unizar.es](https://reader035.vdocuments.pub/reader035/viewer/2022062500/5665b4991a28abb57c92839a/html5/thumbnails/57.jpg)
Seguridad Informática : Conceptos y prácticas
Plan de Seguridad ( III )
Claves del éxito:
• Sencillez y claridad
• Conseguir el apoyo de la dirección
• Involucrar a toda la organización
• Plantear beneficios, no problemas
• Delimitar responsabilidades y deberes
![Page 58: Tecnologías de Red aplicables al comercio electrónico Conceptos y Prácticas de Seguridad Informática Antonio Sanz – ansanz@unizar.es](https://reader035.vdocuments.pub/reader035/viewer/2022062500/5665b4991a28abb57c92839a/html5/thumbnails/58.jpg)
Seguridad Informática : Conceptos y prácticas
Ciclo de vida un PdS
Evaluación
Análisis
Diseño
Implantación
Auditoría
Realimentación
![Page 59: Tecnologías de Red aplicables al comercio electrónico Conceptos y Prácticas de Seguridad Informática Antonio Sanz – ansanz@unizar.es](https://reader035.vdocuments.pub/reader035/viewer/2022062500/5665b4991a28abb57c92839a/html5/thumbnails/59.jpg)
Seguridad Informática : Conceptos y prácticas
PdS: Evaluación
Recopilación de todos los recursos del entorno:
• Hardware: PC’s, routers, cintas magnéticas
• Software: Comercial, gratuito, open source
• Datos: Proyectos, BBDD, nóminas
• Personal: Empleados, know how
• Varios: Imagen pública, posición de mercado, reconocimiento
![Page 60: Tecnologías de Red aplicables al comercio electrónico Conceptos y Prácticas de Seguridad Informática Antonio Sanz – ansanz@unizar.es](https://reader035.vdocuments.pub/reader035/viewer/2022062500/5665b4991a28abb57c92839a/html5/thumbnails/60.jpg)
Seguridad Informática : Conceptos y prácticas
PdS: Evaluación ( II )
Fase inicial Muy importante ser exhaustivo
Evaluar la funcionalidad de cada uno de los elementos dentro del entorno
Ayuda: Creación de tablas
![Page 61: Tecnologías de Red aplicables al comercio electrónico Conceptos y Prácticas de Seguridad Informática Antonio Sanz – ansanz@unizar.es](https://reader035.vdocuments.pub/reader035/viewer/2022062500/5665b4991a28abb57c92839a/html5/thumbnails/61.jpg)
Seguridad Informática : Conceptos y prácticas
PdS: Evaluación ( III )
Ej: Servidor central
• Hardware, guarda la BBDD de la Intranet, en la sala de datos, el Administrador de la Intranet
Ej: Prestigio de marca
• Varios, muestra el éxito de nuestro empresa, en todas partes, toda la empresa ( o Dep. Márketing )
![Page 62: Tecnologías de Red aplicables al comercio electrónico Conceptos y Prácticas de Seguridad Informática Antonio Sanz – ansanz@unizar.es](https://reader035.vdocuments.pub/reader035/viewer/2022062500/5665b4991a28abb57c92839a/html5/thumbnails/62.jpg)
Seguridad Informática : Conceptos y prácticas
PdS: Análisis de riesgos
Para cada recurso se hace una lista de los posibles riesgos :
• Robo
• No disponibilidad
• Copia / Publicación
• Uso indebido
• Destrucción
![Page 63: Tecnologías de Red aplicables al comercio electrónico Conceptos y Prácticas de Seguridad Informática Antonio Sanz – ansanz@unizar.es](https://reader035.vdocuments.pub/reader035/viewer/2022062500/5665b4991a28abb57c92839a/html5/thumbnails/63.jpg)
Seguridad Informática : Conceptos y prácticas
PdS: Análisis de riesgos ( II )
Valoración de las amenazas
Se puntúa de 1 (mínima) a 10 (máxima) :• Facilidad de ejecución• Impacto en el recurso
Amenaza real = Media entre Facilidad e Impacto
Sirve para ordenar las amenazas
![Page 64: Tecnologías de Red aplicables al comercio electrónico Conceptos y Prácticas de Seguridad Informática Antonio Sanz – ansanz@unizar.es](https://reader035.vdocuments.pub/reader035/viewer/2022062500/5665b4991a28abb57c92839a/html5/thumbnails/64.jpg)
Seguridad Informática : Conceptos y prácticas
PdS: Análisis de riesgos ( III )
Ej: Alienígenas abducen una semana al Departamento de Informática
• Impacto: 8, Facilidad: 0 Amenaza = 4
Ej: Ladrón roba copias de seguridad y prende fuego al edificio
• Impacto: 10, Facilidad = 6 Amenaza = 8
![Page 65: Tecnologías de Red aplicables al comercio electrónico Conceptos y Prácticas de Seguridad Informática Antonio Sanz – ansanz@unizar.es](https://reader035.vdocuments.pub/reader035/viewer/2022062500/5665b4991a28abb57c92839a/html5/thumbnails/65.jpg)
Seguridad Informática : Conceptos y prácticas
PdS: Análisis de riesgos ( IV )
Valoración de costes. Se calcula:
• CR : Coste de Reparación• PO : Probabilidad de Ocurrencia• CP : Coste de Prevención
Si CR x PO > CP Es un riesgo a minimizar
Si CR x PO < CP No sale rentable
Ayuda = Tabla organizadora
a) Mayor que el coste de prevención
![Page 66: Tecnologías de Red aplicables al comercio electrónico Conceptos y Prácticas de Seguridad Informática Antonio Sanz – ansanz@unizar.es](https://reader035.vdocuments.pub/reader035/viewer/2022062500/5665b4991a28abb57c92839a/html5/thumbnails/66.jpg)
Seguridad Informática : Conceptos y prácticas
PdS: Análisis de riesgos ( V )
Ej: Riesgo de incendio
• CR = 10M, PO = 0.01, CP = 10K (extintor)
• CR x PO = 100K > 10K Se previene
Ej: Godzilla arrasa la ciudad
• CR = 10M, PO = 0.000001, CP = 10M (centro de backup)
• CR x PO = 10 < 10M Se asume el riesgo
![Page 67: Tecnologías de Red aplicables al comercio electrónico Conceptos y Prácticas de Seguridad Informática Antonio Sanz – ansanz@unizar.es](https://reader035.vdocuments.pub/reader035/viewer/2022062500/5665b4991a28abb57c92839a/html5/thumbnails/67.jpg)
Seguridad Informática : Conceptos y prácticas
PdS: Análisis de riesgos ( VI )
Opciones posibles:
1. Eliminar el recurso2. Diseñar una contramedida3. Asumir el riesgo4. Contratar un seguro
Opciones más comunes: 2) y 3)
![Page 68: Tecnologías de Red aplicables al comercio electrónico Conceptos y Prácticas de Seguridad Informática Antonio Sanz – ansanz@unizar.es](https://reader035.vdocuments.pub/reader035/viewer/2022062500/5665b4991a28abb57c92839a/html5/thumbnails/68.jpg)
Seguridad Informática : Conceptos y prácticas
PdS: Diseño de contramedidas
Objetivo: Eliminar, controlar o minimizar los riesgos identificados, y prevenir en la medida de lo posible riesgos futuros
Fase más importante del PdS
Lenguaje mixto Técnico / Humano
Áreas predeterminadas
![Page 69: Tecnologías de Red aplicables al comercio electrónico Conceptos y Prácticas de Seguridad Informática Antonio Sanz – ansanz@unizar.es](https://reader035.vdocuments.pub/reader035/viewer/2022062500/5665b4991a28abb57c92839a/html5/thumbnails/69.jpg)
Seguridad Informática : Conceptos y prácticas
PdS:Diseño de contramedidas (II)
Copias de Seguridad
Antivirus
Usuarios
Contraseñas
Parches y updates
Seguridad de las comunicaciones
Logs
Administración de equipos
Contingencias
Incidencias de Seguridad
Formación
Seguridad Física
![Page 70: Tecnologías de Red aplicables al comercio electrónico Conceptos y Prácticas de Seguridad Informática Antonio Sanz – ansanz@unizar.es](https://reader035.vdocuments.pub/reader035/viewer/2022062500/5665b4991a28abb57c92839a/html5/thumbnails/70.jpg)
Seguridad Informática : Conceptos y prácticas
PdS: Implementación
Imprescindible apoyo de la dirección (asignación efectiva de recursos)
Implicación de TODA la organización
Metodología: Convencer, no imponer (mano de seda, guante de hierro)
![Page 71: Tecnologías de Red aplicables al comercio electrónico Conceptos y Prácticas de Seguridad Informática Antonio Sanz – ansanz@unizar.es](https://reader035.vdocuments.pub/reader035/viewer/2022062500/5665b4991a28abb57c92839a/html5/thumbnails/71.jpg)
Seguridad Informática : Conceptos y prácticas
PdS: Auditoría
Objetivo: Comprobar que las contramedidas han sido eficazmente aplicadas, y que realizan su función
Interna o Externa
Auditoría de Seguridad o del PdS
Mejora el PdS y asegura su eficacia
![Page 72: Tecnologías de Red aplicables al comercio electrónico Conceptos y Prácticas de Seguridad Informática Antonio Sanz – ansanz@unizar.es](https://reader035.vdocuments.pub/reader035/viewer/2022062500/5665b4991a28abb57c92839a/html5/thumbnails/72.jpg)
Seguridad Informática : Conceptos y prácticas
PdS: Realimentación
PdS Renovación constante
Asignación de recursos necesaria
Se adapta a los cambios de la empresa
![Page 73: Tecnologías de Red aplicables al comercio electrónico Conceptos y Prácticas de Seguridad Informática Antonio Sanz – ansanz@unizar.es](https://reader035.vdocuments.pub/reader035/viewer/2022062500/5665b4991a28abb57c92839a/html5/thumbnails/73.jpg)
Seguridad Informática : Conceptos y prácticas
¿ Dónde están las dudas, matarile rile rile ?
¿?
![Page 74: Tecnologías de Red aplicables al comercio electrónico Conceptos y Prácticas de Seguridad Informática Antonio Sanz – ansanz@unizar.es](https://reader035.vdocuments.pub/reader035/viewer/2022062500/5665b4991a28abb57c92839a/html5/thumbnails/74.jpg)
Seguridad Informática : Conceptos y prácticas
Muchas gracias por su tiempo
Antonio Sanz – [email protected]