Seguridad de los sistemas informticos

Guia de estudio

Necesidad de proteccin de la informacin Vulnerabilidad de los sistemas informticos Medidas de seguridad, servicios y mecanismos Polticas de seguridad. AR y PC Seguridad fsica Seguridad lgica Esquemas y protocolos de seguridad

Necesidad de proteccin
Lectura

en clase Aportes de la clase Conclusin

Vulnerabilidad de los sistemas informticos. Amenazas y Ataques

Bienes informticos sensibles

Software, Hardware y Datos Bienes no intrnsicamente informticos. Ej

Amenazas, segn su origen

Errores accidentales Empleados infieles, desleales o descontentos Desastres naturales o provocados Agresiones de terceros

Vulnerabilidad de los sistemas informticos. Amenazas y Ataques

De la amenaza al hecho: Violaciones de un Sistema

Intercepcin: acceso no autorizado a proceso Modificacin: Intercepcin + Cambios Interrupcin: parcial o total Generacin: Agregar cdigo a los prg., registros a una BD, mensajes no autorizados, etc

Vulnerabilidad de los sistemas informticos. Amenazas y Ataques

Ataques a los bienes informticos

Hardware Software Datos: Criptografa. Principio de temporalidad (proteger el datos mientras tenga valor)

Medidas de seguridad, servicios y mecanismos

Lgicas Fsicas Administrativas Legales

Propiedades fundamentales a considerar (ITSEC)*

Confidencialidad

Usuarios autorizados
Informacin o falsa Quien accede y cuando lo hace Origen y destino No alegar ante tercero que no recibio o envio
*Information Thecnology Security Evaluation Criteria

Integridad

Accesibilidad

Autenticidad

Imposibilidad de rechazo

Servicios de seguridad

Sistemas de cifrado: simtricos y asimtricos

Proporcionan

Confidencialidad Autenticidad

Sistemas de comprobacin de integridad

Utilizan funciones de resumen y garantizan la integridad Impiden la duplicidad

Mecanismos de autenticidad

Poltica de seguridad. AR y PC

Plan de Seguridad

Anlisis de riesgos Valoracin de los daos Costo de las medidas de seguridad

Analisis de Riesgos

Beneficios:

Aumentar la desconfianza Identificacin de bienes, vulnerabilidades y controles Aumento de conocimientos bsicos para la toma de decisiones Justificacin de erogaciones/gastos de seguridad
Identificacin y clasificacin de riesgos Pronstico y evaluacin de las consecuencias Estimacin de la probabilidad de ocurrencia Evaluacin de la exposicin al riesgo

Fases

Fase del AR: Identificacin y clasificacin de riesgos

Identificacin de los bienes

Hardware Software Datos Personal Documentacin Sobrecarga, destruccin, robo, copiado, perdida, etc,

Identificacin y clasificacin de los riesgos

Inventario de bienes y riesgos a que estn sometidos

Cuales son los efectos de los desastres naturales? Cuales son los efectos de los intrusos externos? Cuales son los efectos de los empleados malintencionados?

Fase del AR: Pronostico y evaluacin de las consecuencias

Que ocurre si el sistema queda inutilizado totalmente? Que ocurre si determinados ficheros se destruyen parcial o totalmente? Que ocurre si se produce una copia no autorizada de datos?

Fase del AR: Estimacin de la probabilidad de ocurrencia y Evaluacin de la exposicin al riesgo

E = Dao * Probabilidad de ocurrencia Que riesgos contribuyen en forma significativa la exposicin total de sistema? Una vez identificado el riesgo, podemos:

Prevenirlo: minimizar su probabilidad de ocurrencia Retenerlo: minimizar sus consecuencias (plan de recupero) Transferirlo: seguro de perdidas, convenios con otros usuarios, etc.

PC: Plan de contingencias

Realizar el AR Implantar sistemas de proteccin fsica Implantar sistemas de proteccin lgica Confeccin de un plan de emergencia Realizar un plan de recupero Elaboracin de documentacin Verificacin e implantacin del plan Distribucin y mantenimiento del plan

Seguridad Fsica - Amenazas

Desastres Naturales

Inundaciones Incendios Terremotos .

Cadas de tensin Calor / Humedad Atentados, sabotajes, hurtos, interferencias electromagnticas,

Accidentes no provocados

Acciones malintencionadas

Seguridad Lgica - SL
En el software de usuario En el Sistema Operativo En la Base de Datos En las Redes

SL El rol de la criptografa
Identificar que componentes criptogrficos hay Que tipos de criptosistemas Justificacin de su existencia Rol de la criptografa en el sistema

SL Software de Usuario

Acceso no autorizado a datos

Programas con puerta de escape Caballos de troya Programas ataques salami Programas con canales ocultos Programas voraces Bucles Virus y gusanos

SL Software de Usuario

Medidas y tcnicas de seguridad

Medidas:

Profilcticas Subdivisin de tareas, reutilizacin de cdigo, utilizacin de herramientas estndares, organizacin de tareas, entre otras aportadas por la IS Revisiones cruzadas Modularidad, encapsulado y sombreado (Qu y no Cmo) Pruebas independientes Gestin de configuracin Control de Cambios

Tcnicas:

SL Software de Base
Identificacin y autenticacin de usuarios Modelos de seguridad (Sujeto-Objeto)

Discrecional

Matriz de accesos de objetos, sujetos y tipos de accesos

Obligatoria No discrecionales
Establecen los canales por donde fluyen la informacin Modelo BLP (Bell-La Padula)

SL Bases de datos

El problema de la Inferencia

Bases estadsticas
Grandes almacenes de datos con diferentes niveles de confidencialidad y numerosos usuarios autorizados, cada uno con niveles distintos de autorizacin.-

El problema multinivel

SL Redes de computadoras
La seguridad en la red
Uso de cifrado en la red Cifrado de enlace Cifrado nodo a nodo

La seguridad de las comunicaciones

Medios fsicos de transmisin

Escucha pasiva/activa

Esquemas y protocolos de seguridad

Autenticidad e Integridad Firma Digital

Mtodos
Con arbitro Firma digital ordinaria

Usos