seguridad informÁtica corporativa - pdt...
TRANSCRIPT
SEGURIDAD INFORMATICA CORPORATIVA
Conceptos básicos
¿Qué es la seguridad informática?
La seguridad informática está firmemente asociada a la certeza, pero no existe la seguridad absoluta, habrá que minimizar el riesgo.
UTN Facultad Regional Paraná Preparación de Documentación Técnica
SEGURIDAD INFORMATICA CORPORATIVA
Conceptos básicos (cont.)
¿Cuáles son los aspectos a considerar?
✗ Confidencialidad✗ Integridad✗ Disponibilidad✗ Autenticidad
UTN Facultad Regional Paraná Preparación de Documentación Técnica
SEGURIDAD INFORMATICA CORPORATIVA
Conceptos básicos (cont.)
Confidencialidad: La información solo puede ser accedida por las personas con au-torización para hacerlo.Integridad:Seguridad en que la información no ha sido copiada, borrada o alterada.
UTN Facultad Regional Paraná Preparación de Documentación Técnica
SEGURIDAD INFORMATICA CORPORATIVA
Conceptos básicos (cont.)
Disponibilidad:Hace referencia al método de pre-caución contra posibles daños tanto en la información como en el acceso.Autenticidad:Nos informa que el archivo es real.
UTN Facultad Regional Paraná Preparación de Documentación Técnica
SEGURIDAD INFORMATICA CORPORATIVA
Conceptos básicos (cont.)
Autenticación vs. Identificación:La identificación busca patrones, ej. una voz, una huella, etc.La autenticación reconoce elemen-tos personales o inherentes a la persona u objeto.
UTN Facultad Regional Paraná Preparación de Documentación Técnica
SEGURIDAD INFORMATICA CORPORATIVA
Conceptos básicos (cont.)
Categorías de autenticación:1) Algo que el usuario sabe, ej.
password2) Algo que el usuario lleva consigo,
ej. tarjeta magnética3) Propiedad física o acto invo-
luntario, ej. firma (trazo)
UTN Facultad Regional Paraná Preparación de Documentación Técnica
SEGURIDAD INFORMATICA CORPORATIVA
Conceptos básicos (cont.)
¿Qué queremos proteger?
✗ Hardware, equipos y dispositivos✗ Software, programas✗ Datos, conjunto de sistemas✗ Elementos fungibles, insumos
UTN Facultad Regional Paraná Preparación de Documentación Técnica
SEGURIDAD INFORMATICA CORPORATIVA
Conceptos básicos (cont.)
Importancia de los elementos:Los datos son los elementos a
proteger, los demás pueden recuperarse.
Diferenciar datos de información, no son sinónimos, esta requiere un proceso (transformación).
UTN Facultad Regional Paraná Preparación de Documentación Técnica
SEGURIDAD INFORMATICA CORPORATIVA
Conceptos básicos (cont.)
Categoría de los ataques:✗ Interrupción. Contra la disponibi-
lidad✗ Interceptación. Contra la confi-
dencialidad✗ Fabricación. Contra la autenticidad✗ Modificación. Contra la integridad
UTN Facultad Regional Paraná Preparación de Documentación Técnica
SEGURIDAD INFORMATICA CORPORATIVA
Interrupción.
UTN Facultad Regional Paraná Preparación de Documentación Técnica
SEGURIDAD INFORMATICA CORPORATIVA
Interceptación.
UTN Facultad Regional Paraná Preparación de Documentación Técnica
SEGURIDAD INFORMATICA CORPORATIVA
Fabricación.
UTN Facultad Regional Paraná Preparación de Documentación Técnica
SEGURIDAD INFORMATICA CORPORATIVA
Modificación.
UTN Facultad Regional Paraná Preparación de Documentación Técnica
SEGURIDAD INFORMATICA CORPORATIVA
Conceptos básicos (cont.)
¿De qué nos protegemos?
Factores Humanos:✗ El personal y ex-empleados✗ Hackers, crackers y lamers✗ Cliqueadores y gecece (G.C.C.)✗ Intrusos por paga
UTN Facultad Regional Paraná Preparación de Documentación Técnica
SEGURIDAD INFORMATICA CORPORATIVA
Conceptos básicos (cont.)
Factores Humanos: (más)✗ Cyberterroristas✗ Software con errores✗ Puertas traseras✗ Virus, troyanos, gusanos, etc.
UTN Facultad Regional Paraná Preparación de Documentación Técnica
SEGURIDAD INFORMATICA CORPORATIVA
Conceptos básicos (cont.)
Factores NO humanos:✗ Riesgos Comunes. Tormentas,
incendios, atentados, etc.✗ Riesgos Extraordinarios o de
baja probabilidad. Accidente de aviación sobre el edificio del servi-dor, ataque extraterrestre, etc.
UTN Facultad Regional Paraná Preparación de Documentación Técnica
SEGURIDAD INFORMATICA CORPORATIVA
Políticas de Seguridad
Creación de un plan:Una P.S. se basa en prioridades.1º paso: ¿qué se desea proteger?2º paso: ¿de quién?3º paso: determinar los riesgos4º paso: implementación5º paso: mejoramiento
UTN Facultad Regional Paraná Preparación de Documentación Técnica
SEGURIDAD INFORMATICA CORPORATIVA
Modelo de implementación.
UTN Facultad Regional Paraná Preparación de Documentación Técnica
SEGURIDAD INFORMATICA CORPORATIVA
Responsabilidades. Ejemplo de Organigrama
UTN Facultad Regional Paraná Preparación de Documentación Técnica
SEGURIDAD INFORMATICA CORPORATIVA
Políticas de Seguridad (cont.)
Procedimientos.Debemos responder las preguntas:✗ ¿Quién utilizará el recurso?✗ ¿Cuál es el empleo de cada recurso?✗ ¿Cuáles son las obligaciones de los
usuarios?✗ ¿Quién aprueba el uso de un recurso?
UTN Facultad Regional Paraná Preparación de Documentación Técnica
SEGURIDAD INFORMATICA CORPORATIVA
Políticas de Seguridad (cont.)
¿Quién utilizará el recurso?
Esta pregunta es fundamental para determinar quienes son las personas que integran el tratado de seguridad, de aquí se desprenden los derechos, las responsabilidades y las medidas.
También se habla de un grupo de personas, por ej.: el sector de marketing, el servicio técnico, etc.
UTN Facultad Regional Paraná Preparación de Documentación Técnica
SEGURIDAD INFORMATICA CORPORATIVA
Políticas de Seguridad (cont.)
¿Cuál es el empleo de cada recurso?
Para dejar en claro la diferencia entre “uso” y “abuso”, se crean normas que los usuarios deben leer, aprender y seguir.
Estas normas se conocen con el nombre de “POLITICAS DE USO ACEPTABLE” (PUA).
UTN Facultad Regional Paraná Preparación de Documentación Técnica
SEGURIDAD INFORMATICA CORPORATIVA
Políticas de Seguridad (cont.)
Obligaciones de los usuarios
➔ Elección y cuidado de la contraseña➔ Caducidad de las contraseñas➔ Privacidad del correo electrónico➔ Restricciones en el uso de las recursos➔ Privacidad de la información➔ Tamaño máximo de uso (cuota)
UTN Facultad Regional Paraná Preparación de Documentación Técnica
SEGURIDAD INFORMATICA CORPORATIVA
Políticas de Seguridad (cont.)
¿Quién aprueba el uso de un recurso?
Los recursos con que cuenta la empresa son distintos para cada sector, por lo que tiene que haber alguien competente para distribuirlos.
Hay dos tipos de distribuciones clásicas:➔ Distribución central➔ Distribución variada o sectorial
UTN Facultad Regional Paraná Preparación de Documentación Técnica
SEGURIDAD INFORMATICA CORPORATIVA
Distribución central
UTN Facultad Regional Paraná Preparación de Documentación Técnica
SEGURIDAD INFORMATICA CORPORATIVA
Distribución variada o sectorial
UTN Facultad Regional Paraná Preparación de Documentación Técnica
SEGURIDAD INFORMATICA CORPORATIVA
Políticas de Seguridad (cont.)
Estrategias de respuesta:➔ Proteger y proceder: Se asegura el servidor o sitio evitando intrusos.
➔ Perseguir y procesar: Se reco-lecta información del ataque y se persigue al atacante por medios legales.
UTN Facultad Regional Paraná Preparación de Documentación Técnica
SEGURIDAD INFORMATICA CORPORATIVA
Políticas de Seguridad (cont.)
Problemas comunes (empresas):➔ Muchos puntos de acceso autorizados➔ No se verifican sistemas por defecto➔ No se actualizan las protecciones➔ Excesiva confianza en los empleados➔ Servidores públicos sin adecuada autenticación➔ Servidores privados sin adecuada autenticación➔ Se utilizan usuarios/claves deducibles o fáciles
UTN Facultad Regional Paraná Preparación de Documentación Técnica
SEGURIDAD INFORMATICA CORPORATIVA
Políticas de Seguridad (cont.)
Modelos de Políticas:Modelo Bell-Lapadula (BLP). Trabaja
con esquema multinivel: sin clasificar, confidencial, secreto y muy secreto.
Todos los usuarios tienen un nivel de seguridad establecido, puede ser neutro o combinado, son privilegios.
UTN Facultad Regional Paraná Preparación de Documentación Técnica
SEGURIDAD INFORMATICA CORPORATIVA
Políticas de Seguridad (cont.)
Elementos integrantes del BLP:✗ Sujetos: cada entidad del sistema✗ Objetos: La arquitectura que al-
macena la información✗ Modos de acceso: La interacción
entre el sujeto y el objeto✗ Niveles de seguridad
UTN Facultad Regional Paraná Preparación de Documentación Técnica
SEGURIDAD INFORMATICA CORPORATIVA
Políticas de Seguridad (cont.)
Propiedades de estado del BLP:✗ Seguridad simple: nivel de segu-
ridad del sujeto mayor que el objeto✗ Seguridad en estrella: Mayor para
lectura, pero igual para escritura✗ Seguridad discrecional: Gerentes
y administradores
UTN Facultad Regional Paraná Preparación de Documentación Técnica
SEGURIDAD INFORMATICA CORPORATIVA
Políticas de Seguridad (cont.)
El modelo de Clark-Wilson se especializa en la integridad de la info.✗ Mecanismo de transacciones co-
rrectas. Requiere programas auto-rizados o auditorías de monitoreo.
✗ Mecanismo de separación de obli-gaciones. Separa operaciones para sujetos especializados.
UTN Facultad Regional Paraná Preparación de Documentación Técnica
SEGURIDAD INFORMATICA CORPORATIVA
Para recordar:
“DE NADA SIRVE PONERLE REJA A LA VENTANA SI DEJAMOS LA PUERTA ABIERTA”
PROVERBIO INFORMATICO
UTN Facultad Regional Paraná Preparación de Documentación Técnica
SEGURIDAD INFORMATICA CORPORATIVA
Fuentes
➔ FIRTMAN, Sebastián. “Seguridad Infor-mática – Las amenazas y vulnerabili-dades más peligrosas al desnudo”. MP Ediciones. Buenos Aires 2005.
➔ Norma ISO 17799:2000. “Seguridad Informática”, año 2000.
➔ Sitio Web www.iso.org . ➔ Foros de discusión en Internet
UTN Facultad Regional Paraná Preparación de Documentación Técnica