seguridad informÁtica corporativa - pdt...

SEGURIDAD INFORMATICA CORPORATIVA

UTN Facultad Regional Paraná Preparación de Documentación Técnica


Conceptos básicos

¿Qué es la seguridad informática?

La seguridad informática está firmemente asociada a la certeza, pero no existe la seguridad absoluta, habrá que minimizar el riesgo.



Conceptos básicos (cont.)

¿Cuáles son los aspectos a considerar?

✗ Confidencialidad✗ Integridad✗ Disponibilidad✗ Autenticidad




Confidencialidad: La información solo puede ser accedida por las personas con au-torización para hacerlo.Integridad:Seguridad en que la información no ha sido copiada, borrada o alterada.




Disponibilidad:Hace referencia al método de pre-caución contra posibles daños tanto en la información como en el acceso.Autenticidad:Nos informa que el archivo es real.




Autenticación vs. Identificación:La identificación busca patrones, ej. una voz, una huella, etc.La autenticación reconoce elemen-tos personales o inherentes a la persona u objeto.




Categorías de autenticación:1) Algo que el usuario sabe, ej.

password2) Algo que el usuario lleva consigo,

ej. tarjeta magnética3) Propiedad física o acto invo-

luntario, ej. firma (trazo)




¿Qué queremos proteger?

✗ Hardware, equipos y dispositivos✗ Software, programas✗ Datos, conjunto de sistemas✗ Elementos fungibles, insumos




Importancia de los elementos:Los datos son los elementos a

proteger, los demás pueden recuperarse.

Diferenciar datos de información, no son sinónimos, esta requiere un proceso (transformación).




Categoría de los ataques:✗ Interrupción. Contra la disponibi-

lidad✗ Interceptación. Contra la confi-

dencialidad✗ Fabricación. Contra la autenticidad✗ Modificación. Contra la integridad



Interrupción.



Interceptación.



Fabricación.



Modificación.




¿De qué nos protegemos?

Factores Humanos:✗ El personal y ex-empleados✗ Hackers, crackers y lamers✗ Cliqueadores y gecece (G.C.C.)✗ Intrusos por paga




Factores Humanos: (más)✗ Cyberterroristas✗ Software con errores✗ Puertas traseras✗ Virus, troyanos, gusanos, etc.




Factores NO humanos:✗ Riesgos Comunes. Tormentas,

incendios, atentados, etc.✗ Riesgos Extraordinarios o de

baja probabilidad. Accidente de aviación sobre el edificio del servi-dor, ataque extraterrestre, etc.



Políticas de Seguridad

Creación de un plan:Una P.S. se basa en prioridades.1º paso: ¿qué se desea proteger?2º paso: ¿de quién?3º paso: determinar los riesgos4º paso: implementación5º paso: mejoramiento



Modelo de implementación.



Responsabilidades. Ejemplo de Organigrama



Políticas de Seguridad (cont.)

Procedimientos.Debemos responder las preguntas:✗ ¿Quién utilizará el recurso?✗ ¿Cuál es el empleo de cada recurso?✗ ¿Cuáles son las obligaciones de los

usuarios?✗ ¿Quién aprueba el uso de un recurso?




¿Quién utilizará el recurso?

Esta pregunta es fundamental para determinar quienes son las personas que integran el tratado de seguridad, de aquí se desprenden los derechos, las responsabilidades y las medidas.

También se habla de un grupo de personas, por ej.: el sector de marketing, el servicio técnico, etc.




¿Cuál es el empleo de cada recurso?

Para dejar en claro la diferencia entre “uso” y “abuso”, se crean normas que los usuarios deben leer, aprender y seguir.

Estas normas se conocen con el nombre de “POLITICAS DE USO ACEPTABLE” (PUA).




Obligaciones de los usuarios

➔ Elección y cuidado de la contraseña➔ Caducidad de las contraseñas➔ Privacidad del correo electrónico➔ Restricciones en el uso de las recursos➔ Privacidad de la información➔ Tamaño máximo de uso (cuota)




¿Quién aprueba el uso de un recurso?

Los recursos con que cuenta la empresa son distintos para cada sector, por lo que tiene que haber alguien competente para distribuirlos.

Hay dos tipos de distribuciones clásicas:➔ Distribución central➔ Distribución variada o sectorial



Distribución central



Distribución variada o sectorial




Estrategias de respuesta:➔ Proteger y proceder: Se asegura el servidor o sitio evitando intrusos.

➔ Perseguir y procesar: Se reco-lecta información del ataque y se persigue al atacante por medios legales.




Problemas comunes (empresas):➔ Muchos puntos de acceso autorizados➔ No se verifican sistemas por defecto➔ No se actualizan las protecciones➔ Excesiva confianza en los empleados➔ Servidores públicos sin adecuada autenticación➔ Servidores privados sin adecuada autenticación➔ Se utilizan usuarios/claves deducibles o fáciles




Modelos de Políticas:Modelo Bell-Lapadula (BLP). Trabaja

con esquema multinivel: sin clasificar, confidencial, secreto y muy secreto.

Todos los usuarios tienen un nivel de seguridad establecido, puede ser neutro o combinado, son privilegios.




Elementos integrantes del BLP:✗ Sujetos: cada entidad del sistema✗ Objetos: La arquitectura que al-

macena la información✗ Modos de acceso: La interacción

entre el sujeto y el objeto✗ Niveles de seguridad




Propiedades de estado del BLP:✗ Seguridad simple: nivel de segu-

ridad del sujeto mayor que el objeto✗ Seguridad en estrella: Mayor para

lectura, pero igual para escritura✗ Seguridad discrecional: Gerentes

y administradores




El modelo de Clark-Wilson se especializa en la integridad de la info.✗ Mecanismo de transacciones co-

rrectas. Requiere programas auto-rizados o auditorías de monitoreo.

✗ Mecanismo de separación de obli-gaciones. Separa operaciones para sujetos especializados.



Para recordar:

“DE NADA SIRVE PONERLE REJA A LA VENTANA SI DEJAMOS LA PUERTA ABIERTA”

PROVERBIO INFORMATICO



Fuentes

➔ FIRTMAN, Sebastián. “Seguridad Infor-mática – Las amenazas y vulnerabili-dades más peligrosas al desnudo”. MP Ediciones. Buenos Aires 2005.

➔ Norma ISO 17799:2000. “Seguridad Informática”, año 2000.

➔ Sitio Web www.iso.org . ➔ Foros de discusión en Internet


http://www.iso.org/

seguridad informÁtica corporativa - pdt...

Documents