Académique Documents
Professionnel Documents
Culture Documents
SEGURIDAD DE LA INFORMACION 1
Política de seguridad
SEGURIDAD DE LA INFORMACION 2
Definiciones
Sistema seguro
Problema de seguridad
SEGURIDAD DE LA INFORMACION 3
Ejemplo
SEGURIDAD DE LA INFORMACION 4
Confidencialidad
Por ejemplo:
– X conjunto de alumnos
– I respuestas de un examen
– I es confidencial con respecto de X si los alumnos no
pueden obtener las respuestas del examen.
SEGURIDAD DE LA INFORMACION 5
Integridad
Tipos de integridad:
– Integridad de los datos: confiamos en que el medio
de transporte o de almacenamiento no cambian la
información.
– Integridad de origen: cuando la información es sobre
el origen de algo o sobre identidad.
SEGURIDAD DE LA INFORMACION 6
Disponibilidad
Tipos de disponibilidad:
– Tradicional: se accede o no a la información.
– Calidad de servicio: existe un nivel de servicio
comprometido (SLA) que debe ser alcanzado.
SEGURIDAD DE LA INFORMACION 7
Mecanismo
Por ejemplo:
– Control de acceso (asignar permisos a los recursos)
– No permitir que las personas inserten CDs o
disquetes en una computadora para controlar lo que
ingresa a los sistemas.
SEGURIDAD DE LA INFORMACION 8
Tipos de políticas
• Política de confidencialidad
Desarrollada principalmente para proteger la
confidencialidad.
• Política de integridad
Desarrollada principalmente para proteger la integridad.
• Política híbrida
SEGURIDAD DE LA INFORMACION 9
Políticas de Confidencialidad:
Modelo Bell-Lapadula
SEGURIDAD DE LA INFORMACION 10
Política de confidencialidad
SEGURIDAD DE LA INFORMACION 11
Modelo Bell-Lapadula
SEGURIDAD DE LA INFORMACION 12
Ejemplo
SEGURIDAD DE LA INFORMACION 13
Bell-Lapadula
SEGURIDAD DE LA INFORMACION 14
Acceso de lectura la información
SEGURIDAD DE LA INFORMACION 15
Escritura de Información
SEGURIDAD DE LA INFORMACION 16
Modelo Bell-Lapadula, extendido
SEGURIDAD DE LA INFORMACION 17
Niveles y dominancia
SEGURIDAD DE LA INFORMACION 18
Bell-Lapadula
SEGURIDAD DE LA INFORMACION 19
Bell-Lapadula
SEGURIDAD DE LA INFORMACION 20
Covert channel
SEGURIDAD DE LA INFORMACION 21
Política de integridad
SEGURIDAD DE LA INFORMACION 22
Principios de operación
• Separación de tareas
Ejemplo: pasar un sistema del entorno de desarrollo al
entorno de producción.
• Separación de funciones
Ejemplo: los sistemas se programan y prueban en el
entorno de desarrollo no en el de producción.
• Auditabilidad
Ejemplo: el proceso de pasar un sistema a producción
debe ser auditado, los auditores deben tener acceso al
estado del sistema y a los logs.
SEGURIDAD DE LA INFORMACION 23
Modelo BIBA
Read up:
Un sujeto S puede leer un objeto o sii i(s) ≤ i(o)
Write down:
Un sujeto S puede escribir un objeto o sii i(o) ≤ i(s)
SEGURIDAD DE LA INFORMACION 24
Transacciones
SEGURIDAD DE LA INFORMACION 25
El rol de la confianza
SEGURIDAD DE LA INFORMACION 26
El rol de la confianza
SEGURIDAD DE LA INFORMACION 27
El rol de la confianza
SEGURIDAD DE LA INFORMACION 28
El rol de la confianza
SEGURIDAD DE LA INFORMACION 29
Políticas Híbridas:
Pared China (CW)
SEGURIDAD DE LA INFORMACION 30
Pared - China
Problema:
– Armando es un analista de mercado que asesora al
Banco Mayo en temas de planes corporativos de
negocios.
– Se le solicita que también aconseje al Banco Junio en
los mismos temas.
– Se produce un Conflicto de interés, porque al tener
información interna de uno de ellos, como ser planes,
estado financiero, etc, puede obtener ventajas en la
forma en la que asesora al otro.
SEGURIDAD DE LA INFORMACION 31
Pared - China
SEGURIDAD DE LA INFORMACION 32
Pared - China
SEGURIDAD DE LA INFORMACION 33
Ejemplo
SEGURIDAD DE LA INFORMACION 34
Elemento Temporal
SEGURIDAD DE LA INFORMACION 35
Condición de seguridad simple
SEGURIDAD DE LA INFORMACION 36
Esterilización
SEGURIDAD DE LA INFORMACION 37
Escritura
SEGURIDAD DE LA INFORMACION 38
Propiedad *
SEGURIDAD DE LA INFORMACION 39
Comparación con Bell-Lapadula
SEGURIDAD DE LA INFORMACION 41
Politicas de seguridad
Sistemas de información clínica
SEGURIDAD DE LA INFORMACION 42
Acceso
SEGURIDAD DE LA INFORMACION 43
Otros principios
SEGURIDAD DE LA INFORMACION 44
Vista Windows Integrity Control
Conocido inicialmente como Mandatory Integrity cotrol.
Se basa en el modelo Biba de control de Integridad.
Define seis niveles de integridad
• Trusted Installer
• System (operating system processes)
• High (administrators)
• Medium (non-administrators)
• Low (temporary Internet files)
• Untrusted
Referencias:
http://blogs.technet.com/steriley/archive/2006/07/21/442870.aspx
http://msdn.microsoft.com/library/default.asp?url=/library/en-
us/IETechCol/dnwebgen/ProtectedMode.asp
http://www.securityfocus.com/print/infocus/1887
http://www.minasi.com/vista/chml.htm
SEGURIDAD DE LA INFORMACION 45