SEGURIDAD INFORMATICA CORPORATIVA

Transcripción

1 SEGURIDAD INFORMATICA CORPORATIVA

2 Conceptos básicos Qué es la seguridad informática? La seguridad informática está firmemente asociada a la certeza, pero no existe la seguridad absoluta, habrá que minimizar el riesgo.

3 Conceptos básicos (cont.) Cuáles son los aspectos a considerar? Confidencialidad Integridad Disponibilidad Autenticidad

4 Conceptos básicos (cont.) Confidencialidad: La información solo puede ser accedida por las personas con autorización para hacerlo. Integridad: Seguridad en que la información no ha sido copiada, borrada o alterada.

5 Conceptos básicos (cont.) Disponibilidad: Hace referencia al método de precaución contra posibles daños tanto en la información como en el acceso. Autenticidad: Nos informa que el archivo es real.

6 Conceptos básicos (cont.) Autenticación vs. Identificación: La identificación busca patrones, ej. una voz, una huella, etc. La autenticación reconoce elementos personales o inherentes a la persona u objeto.

7 Conceptos básicos (cont.) Categorías de autenticación: 1) Algo que el usuario sabe, ej. password 2) Algo que el usuario lleva consigo, ej. tarjeta magnética 3) Propiedad física o acto involuntario, ej. firma (trazo)

8 Conceptos básicos (cont.) Qué queremos proteger? Hardware, equipos y dispositivos Software, programas Datos, conjunto de sistemas Elementos fungibles, insumos

9 Conceptos básicos (cont.) Importancia de los elementos: Los datos son los elementos a proteger, los demás pueden recuperarse. Diferenciar datos de información, no son sinónimos, esta requiere un proceso (transformación).

10

11 Conceptos básicos (cont.) Categoría de los ataques: Interrupción. Contra la disponibilidad Interceptación. Contra la confidencialidad Fabricación. Contra la autenticidad Modificación. Contra la integridad

12 Interrupción.

13 Interceptación.

14 Fabricación.

15 Modificación.

16 Conceptos básicos (cont.) De qué nos protegemos? Factores Humanos: El personal y ex-empleados Hackers, crackers y lamers Cliqueadores y gecece (G.C.C.) Intrusos por paga

17 Conceptos básicos (cont.) Factores Humanos: (más) Cyberterroristas Software con errores Puertas traseras Virus, troyanos, gusanos, etc.

18 Conceptos básicos (cont.) Factores NO humanos: Riesgos Comunes. Tormentas, incendios, atentados, etc. Riesgos Extraordinarios o de baja probabilidad. Accidente de aviación sobre el edificio del servidor, ataque extraterrestre, etc.

19 Políticas de Seguridad Creación de un plan: Una P.S. se basa en prioridades. 1º paso: qué se desea proteger? 2º paso: de quién? 3º paso: determinar los riesgos 4º paso: implementación 5º paso: mejoramiento

20 Modelo de implementación.

21 Responsabilidades. Ejemplo de Organigrama

22 Políticas de Seguridad (cont.) Procedimientos. Debemos responder las preguntas: Quién utilizará el recurso? Cuál es el empleo de cada recurso? Cuáles son las obligaciones de los usuarios? Quién aprueba el uso de un recurso?

23 Políticas de Seguridad (cont.) Quién utilizará el recurso? Esta pregunta es fundamental para determinar quienes son las personas que integran el tratado de seguridad, de aquí se desprenden los derechos, las responsabilidades y las medidas. También se habla de un grupo de personas, por ej.: el sector de marketing, el servicio técnico, etc.

24 Políticas de Seguridad (cont.) Cuál es el empleo de cada recurso? Para dejar en claro la diferencia entre uso y abuso, se crean normas que los usuarios deben leer, aprender y seguir. Estas normas se conocen con el nombre de POLITICAS DE USO ACEPTABLE (PUA).

25 Políticas de Seguridad (cont.) Obligaciones de los usuarios Elección y cuidado de la contraseña Caducidad de las contraseñas Privacidad del correo electrónico Restricciones en el uso de las recursos Privacidad de la información Tamaño máximo de uso (cuota)

26 Políticas de Seguridad (cont.) Quién aprueba el uso de un recurso? Los recursos con que cuenta la empresa son distintos para cada sector, por lo que tiene que haber alguien competente para distribuirlos. Hay dos tipos de distribuciones clásicas: Distribución central Distribución variada o sectorial

27 Distribución central SEGURIDAD INFORMATICA CORPORATIVA

28 Distribución variada o sectorial

29 Políticas de Seguridad (cont.) Estrategias de respuesta: Proteger y proceder: Se asegura el servidor o sitio evitando intrusos. Perseguir y procesar: Se recolecta información del ataque y se persigue al atacante por medios legales.

30 Políticas de Seguridad (cont.) Problemas comunes (empresas): Muchos puntos de acceso autorizados No se verifican sistemas por defecto No se actualizan las protecciones Excesiva confianza en los empleados Servidores públicos sin adecuada autenticación Servidores privados sin adecuada autenticación Se utilizan usuarios/claves deducibles o fáciles

31 Políticas de Seguridad (cont.) Modelos de Políticas: Modelo Bell-Lapadula (BLP). Trabaja con esquema multinivel: sin clasificar, confidencial, secreto y muy secreto. Todos los usuarios tienen un nivel de seguridad establecido, puede ser neutro o combinado, son privilegios.

32 Políticas de Seguridad (cont.) Elementos integrantes del BLP: Sujetos: cada entidad del sistema Objetos: La arquitectura que almacena la información Modos de acceso: La interacción entre el sujeto y el objeto Niveles de seguridad

33 Políticas de Seguridad (cont.) Propiedades de estado del BLP: Seguridad simple: nivel de seguridad del sujeto mayor que el objeto Seguridad en estrella: Mayor para lectura, pero igual para escritura Seguridad discrecional: Gerentes y administradores

34 Políticas de Seguridad (cont.) El modelo de Clark-Wilson se especializa en la integridad de la info. Mecanismo de transacciones correctas. Requiere programas autorizados o auditorías de monitoreo. Mecanismo de separación de obligaciones. Separa operaciones para sujetos especializados.

35 Para recordar: DE NADA SIRVE PONERLE REJA A LA VENTANA SI DEJAMOS LA PUERTA ABIERTA PROVERBIO INFORMATICO

36 Fuentes FIRTMAN, Sebastián. Seguridad Informática Las amenazas y vulnerabilidades más peligrosas al desnudo. MP Ediciones. Buenos Aires Norma ISO 17799:2000. Seguridad Informática, año Sitio Web Foros de discusión en Internet