Asignatura: Tecnologías Emergentes 7º Nivel. Docente: Ing. Freddy Melgar Algarañaz

Documentos relacionados
ISO GAP ANALYSIS

PROYECTO ISO SISTESEG

ANEXO 4: CONTROLES DE LOS ESTÁNDARES ISO/IEC 17799, SECCIONES 5 A 15

PROCEDIMIENTO MANTENIMIENTO INSTALACION Y MANTENIMIENTO DE RED INALAMBRICA

Por qué nos preocupa la seguridad?

Técnico en Sistema de Gestión de Seguridad de la Información ISO/IEC 27001:2014

Técnico Profesional en Sistema de Gestión de Seguridad de la Información UNE-ISO/IEC 27001:2014 (130 horas)

MÓDULO FORMATIVO 3: ADMINISTRACIÓN DE SERVICIOS DE TRANSFERENCIA DE ARCHIVOS Y CONTENIDOS MULTIMEDIA

Perito Judicial en Análisis y Auditoría Pericial de los Sistemas de Seguridad de la Información ISO (330 horas)

Perito Judicial en Análisis y Auditoría Pericial de los Sistemas de Seguridad de la Información ISO (330 horas)

P.O Tratamiento e intercambio de Información entre Operador del Sistema, encargados de la lectura, comercializadores y resto de agentes

Plan de curso Sílabo-

Universidad de Los Lagos Campus República Avenida República Nº 517 Fono: (56-2) SEGURIDAD LÓGICA BASES DE DATOS

SEGURIDAD EN APLICACIONES WEB. Autor: Siler Amador Donado

MECANISMOS FUERTES DE AUTENTICACIÓN CIRCULAR 042 DE 2012 SUPERINTENDENCIA FINANCIERA

Analítica de Datos: Su importancia en la detección e inteligencia de Ciber-Amenzas

PROTECCIÓN DE SERVIDORES, PUESTOS Y TERMINALES SEGURIDAD ENDPOINT NETWORK SECURITY I ENDPOINT SECURITY I DATA SECURITY

Seguridad aplicaciones (Solución RASP).

POLITICA DE SEGURIDAD DE LA INFORMACION INDEA INGENIERIA DE APLICACIONES S.L

ANEXO TÉCNICO ALCANCE Se requiere de una bolsa económica que permita solicitar 4 tipos de certificados digitales:

DIRECCION DE SISTEMAS DE INFORMACION UNIDAD DE CENTRO DE CÓMPUTO

IFCT0509 ADMINISTRACIÓN DE SERIVICIO DE INTERNET

Curso de Preparación para CISSP 27 al 31 de marzo 2017 Santo Domingo

Seguridad Informática. Profesora Anaylen López

SEGURIDAD INFORMATICA CORPORATIVA

Implementación de Centros de Computo y Redes de Computadoras

1.4.1 Inicio de la computadora por primera vez Hay problemas Causas, síntomas y soluciones a posibles averías...

Integridad Almacenamiento Autenticidad. Figura 6.1. Procesos de la información

Sistemas operativos: una visión aplicada. Capítulo 9 Seguridad y Protección

ADMINISTRACIÓN DE LA SEGURIDAD PERIMETRAL EN REDES LAN. Ing. Mg. Miguel Ángel Valles Coral.

Manual de Usuario para el acceso a las red Eduroam

Postgrado en Gestión y Auditoría de Sistemas de Seguridad de la Información ISO 27001:2014

Circular de Tecnología Pautas para el uso de Certificados Digitales Personales

Implantación de Webmin

Guía de Instalación Versión 3.0. Cliente VPN. Sistema Ingresador de Información Periódica

Plataforma cloud de servicios de eficiencia energética Para grandes consumidores de energía

Proceso de Implementación de actividades de Control en las Unidades de Tecnología de la Información

N. de páginas: 520. Edición: 1. a Medida: 17.5 x Colores: 1. Material incluido:

Administración de un SGBD relacional

PARTE I. TECNICAS DE DESARROLLO

Se realizó aplicando la parte 3 de la Guía de Evaluación de Software, aprobada por Resolución Ministerial W PCM:

INTERVENTORIA ENFOCADA A LA INFORMATICA EN REDES Y COMUNICACIONES DE LA UNAD SEDE REGIONAL.

Registrar información o datos de una persona REQUERIMIENTO QUE LO UTILIZA O ESPECIALIZA:

Estudio, diseño y evaluación de protocolos de autentificación para redes inalámbricas

IFCD0111 Programación en Lenguajes Estructurados de Aplicaciones de Gestión

FIABILIDAD, CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD

COBIT 4.1. Entregar y Dar Soporte DS5 Garantizar la Seguridad de los Sistemas. By Juan Antonio Vásquez

INTRODUCCIÓN A LA ADMINISTRACIÓN DE REDES I N G. M O I S É S A L V A R E Z H U A M Á N

Manual de Organización

Firma Electronica Avanzada

Programación en Lenguajes Estructurados de Aplicaciones de Gestión. Certificados de profesionalidad

Análisis de Vulnerabilidades

Principios Básicos de Seguridad en Bases de Datos

Perfiles y funciones de los Profesionales evaluadores

Capitulo 2. Políticas, Planes y Procedimientos de seguridad.

Soluciones BYOD para el aula. 24.Febrero.2016

Introducción a la Seguridad Informática

Practicas faltantes de la unidad 1 de Seguridad y Alta Disponibilidad. Nessus y msba. Lo configuramos para que haga un análisis de nuestro equipo

Manual de Funciones: Tecnologías de Información y Comunicación - CZS5. ANALISTA ZONAL DE TECNOLOGIAS DE INFORMACION Y COMUNICACION - Servidores

TRANSACCIONES Y DECLARACIONES ELECTRÓNICAS

Registro e Ingreso de Usuarios en Internet

Curso de Ingreso Clase Nro. 4. TIC ( Tecnología de la Información y las Comunicaciones) Enero - Febrero 2018

Importancia de la Gestión de la Identidad y Control de Acceso en la Seguridad Cibernética. Gabriela Espinosa Calderón

CONVENCIONES USADAS... 13

Oracle Database 11g: Seguridad Versión 2

Antes de imprimir este documento piense en el medio ambiente!

Introducción a Sistemas Peer to Peer

Sistema Operativo Linux

SISTEMA DE GESTIÓN DE SALAS Y ADMINISTRACIÓN DE SESIONES

Auditoría Técnica de Seguridad de Aplicaciones Web

MF0489_3 Sistemas Seguros de Acceso y Transmisión de Datos

Red Inalámbrica. Conexión a EDUROAM con Microsoft Windows 7.

Avance del Proyecto Arcasa. Proyecto de Grado 2007 Instituto de Computación Facultad de Ingeniería UdelaR Montevideo - Uruguay

ADMIN PARA FORTALECER, PROTEGER SUS DATOS Y DE LOS CLIENTES CELULARES (57) (57) (57) TELÉFONO (5)

IMPLANTACIÓN DE APLICACIONES WEB EN ENTORNO INTERNET, INTRANET Y EXTRANET

Facultad de Ingeniería Mecánica y Eléctrica SEGURIDAD EN REDES EVOLUCION DE LA SEGURIDAD EN REDES TCP/IP

Bloque III Seguridad en la Internet

Anexo 1 Documento de Catálogo de Requisitos

Punto 1 Funcionamiento del Servicio FTP. Juan Luis Cano

Atributos de Calidad del Software

REDES DE DATOS Modelo OSI. Angélica Flórez Abril, MSc.

Redes inalámbricas. red inalámbrica

Solución completa y sencilla. Por qué WBSVision? Solution Brief

UNIVERSIDAD CATÓLICA DE SANTIAGO DE GUAYAQUIL DIPLOMADO INTERNACIONAL EN SEGURIDAD INFORMÁTICA CON CERTIFICACIÓN ISO 27001

Uso y acceso a la red WIFI del Gobierno de Canarias

SECRETARÍA DE EDUCACIÓN DE GUANAJUATO. Descripción de Puesto. Dirección General de Sistemas y Tecnologías de CF Unidad

Riesgos en Banca Electrónica Una perspectiva jurídica desde la certificación digital. ERICK RINCON CARDENAS

Archivos Digitales. Cláudia Lacombe Rocha Arquivo Nacional. XIII Reunión de la Red de Archivos Diplomáticos Iberoamericanos

I. IDENTIFICACIÓN DEL EMPLEO. Profesional. Profesional Universitario. Libre Nombramiento y Remoción. Sistemas. Director II.

SOFTWARE PARA LA GESTION DE SISTEMAS DE CALIDAD DESARROLLADO POR

Diagramas De Casos De Uso

Seguridad 101. Daniel

Instrucciones de configuración del acceso remoto (VPN) de la UCLM para Windows, Mac y Linux

MANUAL DE INSTALACIÓN DEL DIMM FORMULARIOS GENÉRICO Windows, Macintosh y Linux

Seguridad en el comercio electrónico

Semana 2: Con Con r t o r l de Acceso

Tema: Configurando FTP sobre SSL

DESCRIPCIÓN Y ESQUEMA TÉCNICO DE LA ESTRUCTURA DEL SISTEMA

SEGURIDAD DE LA DATA MASTERBASE S.A.

Transcripción:

Universidad Autónoma del Beni José Ballivian Facultad de Ingeniería y Tecnología Carrera de ingeniería de Sistemas Asignatura: Docente: Tecnologías Emergentes 7º Nivel Ing. Freddy Melgar Algarañaz

La seguridad es un elemento de primer nivel que entra en juego desde la concepción inicial de un sistema y participa desde un principio en las decisiones de diseño. Los requisitos de seguridad deben considerarse explícitamente durante todo el proceso de desarrollo, lo que da lugar a la inclusión de fases o actividad dedicadas a la seguridad

Su objetivo principal es mantener las tres características primordiales de la información: Confidencialidad Integridad Disponibilidad Las medidas de seguridad suelen centrarse principalmente en la eliminación o reducción de las vulnerabilidades del sistema

Atendiendo a la forma de actuación, las medidas de seguridad pueden ser: De Prevención De Detención De Corrección Las principales medidas de seguridad aplicadas al ámbito de desarrollo son la de carácter preventivo en particular de tipo técnico/admistrativo.

Entre las medias de seguridad de carácter técnico se encuentran: Identificación y autenticación de usuarios. Control de accesos. Control de flujo en la información. Confidencialidad. Integridad. No repudio. Notorización. Auditoria.

Entre las medidas administrativas tenemos los siguientes mecanismos de protección: Autenticación Control de acceso Cifrado de datos Funciones de resumen Firma digital Registro de auditoria

Se debe diferenciar las políticas de los mecanismos de seguridad. Las políticas definen qué hay que hacer (qué datos y recursos deben protegerse de quién; es un problema de administración). Los mecanismos determinan cómo hay que hacerlo. Esta separación es importante en términos de flexibilidad, puesto que las políticas pueden variar en el tiempo y de una organización a otra.

Se dice que un sistema es confiable con respecto a una determina política de seguridad si ofrecen mecanismos de protección capases de cumplir con los requisitos de seguridad impuestos por dicha política.

La experiencia en el desarrollo de mecanismos de seguridad relacionado con el control de acceso a dado lugar a los siguientes criterios de diseño: Abstracción de datos. Privilegios mínimos. Separación de privilegios. Separación de administración y acceso. Autorizaciones positivas y negativas. Delegación de privilegios.

Transacciones bien formadas. Autenticación. Compartición mínima. Diseño abierto. Exigencias de permiso. Intermediación completa. Mecanismos económicos. Sencillez de uso. Aceptabilidad.

Es un mecanismo abstracto que permite poner en practica una determinada política e seguridad. En relación con el control de acceso tenemos los siguientes estándares: MAC (Mandatory Access Control) DAC (Discretionary Access Control) Una alternativa a estos modelos es el control de acceso basado en roles (RBAC)

MAC es un sistema centralizado, en el cual las decisiones de seguridad no recaen en el propietario de un objeto y es el sistema el que fuerza el cumplimiento de las políticas por encima de las decisiones de los sujetos, además de permitir una granularidad y control mayores. Desde el punto de vista de la seguridad, MAC es más completo que DAC

Es una forma de acceso a recursos basada en los propietarios y grupos a los que pertenece un objeto. Se dice que es discrecional en el sentido de que un sujeto puede transmitir sus permisos a otro sujeto. La mayoría de sistemas Linux ahora mismo usan este tipo de acceso, estando los permisos orquestados por grupos y usuarios, pudiendo un usuario normal cambiar los permisos de los archivos que posee con el comando chmod.

Trata de definir los permisos basándose en los roles establecidos en la organización, para luego asociar adecuadamente a los usuarios con los roles que tengan derecho a ejercer. Se dice que RBAC es neutral con respecto a la política, ya que permite modelar otros modelos previos, que han demostrado limitaciones, como son DAC y MAC.

Este estándar fue aceptado por ANSI y publicado en febrero de 2004 bajo el código ANSI INCITS 359-2004. Tiene dos grandes bloques: El modelo de referencia RBAC: describe sus elementos y sus relaciones. Especificaciones funcionales administrativas y del sistema RBAC: define las características requeridas para un sistema RBAC

El modelo de referencia RBAC se define en términos de tres componentes: Núcleo de RBAC: recoge los elementos mínimos, roles, usuarios, permisos, sesiones. RBAC Jerárquico: añade relaciones para soportar jerarquía de errores. RBAC con restricciones: ofrece un mecanismo que da soporte al principio de separación de privilegio, la cual pude ser estática o dinámica.

ISO 9126-1 Calidad de uso Seguridad Formas de diagnostico de seguridad. Evaluación de Vulnerabilidades. Pruebas de Penetración. Auditoria de Seguridad.

Busca determinar las fallas de seguridad de un sistema. Produce reportes de tipo, cantidad y grado de dichas fallas. Permite establecer es status de seguridad en un momento determinado, aunque sin referirse a estándares específicos. Permite tomar medidas preventivas para evita que las fallas sean aprovechadas por un hacker.

Google libera herramienta de uso interno. Permite detectar vulnerabilidades en las aplicaciones web. Es compatible con Linux, Mac y Windows y puede ser descargada desde el sitio de Google. Su finalidad es detectar agujeros de seguridad en aplicaciones web.

Nikto2: Es de código abierto. Permite llevar a cabo pruebas exhaustivas de los servidores web para varios artículos. Los plugins se actualizan con frecuencia y se puede actualizar de forma automática.

Líder mundial en escáneres activos de vulnerabilidad. Con alta velocidad de descubrimiento, la auditoría de configuración, el perfil activo, el descubrimiento de los datos sensibles y análisis de la vulnerabilidad de su seguridad. Se pueden distribuir a lo largo de toda una empresa, dentro y a través de redes separadas físicamente.

Para determinar si el Sitio Web, cumple con las características de Seguridad Nro. CONCEPTOS DE SEGURIDAD CUMPLE El Sitio funciona correctamente y no presenta fallas al navegar por sus páginas o utilizar sus 1servicios? (especialmente en el caso de Trámites en línea) Los datos ingresados por un usuario a través de formularios, son validados antes de ser enviados y 2procesados por el servidor del Sitio? Todos los vínculos del Sitio tienen una página asociada y el contenido adecuado al vínculo 3señalado? Frente a una búsqueda dentro del Sitio o cualquier operación en el mismo los resultados se 4muestran correctamente? Los datos privados, entregados voluntariamente por los usuarios, son guardados de manera 5reservada? Se ofrece una Política de Privacidad de los Datos Personales y se informa de su existencia en las 6páginas pertinentes? 7 Los servicios ofrecidos son realizados a través de canales de transacción seguros? En los temas que requieren de accesos restringidos, el Sitio provee algún medio para validar el acceso, por ejemplo: a través de una caja de conexión con nombre de usuario y password? 8 La política de seguridad implementada para validar el acceso restringido es adecuada a los 9propósitos del servicio o de l2a institución? 10 Protege la integridad de sus programas y datos? 11 Se evita que sea visto, el nombre de los programas y los directorios? Se cuenta con un protocolo de seguridad para evitar ataques externos e intrusiones de hackers? 12 Se cuenta con una política de respaldo de información que permita superar efectos de fallas 13derivadas del punto anterior? SI NO

La información condiciones operativas. o Sin problemas. o Sin encontrar fallas. o Faltas. Responsabilidad del prestador del servicio deberá tener un plan de soluciones y un mantenimiento preventivo. Si es una pagina para realizar transacciones deberán tomar medidas para proteger a los datos.

La prevención es la mejor medicina. Se debe mantener la seguridad de los archivos de datos de tal forma que solo las personas correctas puedan verlos. El protocolo SSL permite la transmitir información de forma segura. La W3C1 y organizaciones como OASIS, entre otras, han propuesto estándares de políticas de seguridad y control de acceso que garanticen una infraestructura, en lo posible segura para Web Services y Web Semántica.

GRACIAS!

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback