Seguridad en Sistemas Informáticos (SSI) Visión general de la seguridad informática



Documentos relacionados
PROCEDIMIENTO DE EVALUACIÓN Y ACREDITACIÓN DE LAS COMPETENCIAS PROFESIONALES CUESTIONARIO DE AUTOEVALUACIÓN PARA LAS TRABAJADORAS Y TRABAJADORES

SEGURIDAD INFORMÁTICA. Certificado de profesionalidad IFCT0109

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA

DIA 21 Taller: Implantación ISO en el entorno empresarial PYME

ISO/IEC Sistema de Gestión de Seguridad de la Información

Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001

CURSO DE ESQUEMA NACIONAL DE SEGURIDAD

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2

Procedimiento de Gestión de Incidentes de Seguridad de la Información

REGLAMENTO DE MEDIDAS DE SEGURIDAD DE LOS FICHEROS AUTOMATIZADOS QUE CONTENGAN DATOS DE CARÁCTER PERSONAL CAPÍTULO I.- DISPOSICIONES GENERALES

Política de Gestión de Incidentes de Seguridad de la Información

PROCEDIMIENTO DE EVALUACIÓN Y ACREDITACIÓN DE LAS COMPETENCIAS PROFESIONALES CUESTIONARIO DE AUTOEVALUACIÓN PARA LAS TRABAJADORAS Y TRABAJADORES

Microsoft es una marca comercial registrada o una marca comercial de Microsoft Corporation en Estados Unidos y otros países.

MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013

1. Aplica medidas de seguridad pasiva en sistemas informáticos describiendo características de entornos y relacionándolas con sus necesidades

PROCEDIMIENTO DE EVALUACIÓN Y ACREDITACIÓN DE LAS COMPETENCIAS PROFESIONALES CUESTIONARIO DE AUTOEVALUACIÓN PARA LAS TRABAJADORAS Y TRABAJADORES

RECETA ELECTRÓNICA Informe de Seguridad

TERCERIZACIÓN DE SERVICIOS DE TI. ANEXO 4 - Actividades y niveles de servicio definidos para Primer Nivel de Soporte en Seguridad

Cómo afrontar con éxito la Certif icación ISO 27001:2005. Valencia, octubre Juan Carlos Serrano Antón

1. Instala gestores de contenidos, identificando sus aplicaciones y configurándolos según requerimientos.

Anexo I. Politicas Generales de Seguridad del proyecto CAT

Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL

Capítulo SIMULACIÓN Y SIMULACRO

Requisitos de control de proveedores externos

Aspectos prácticos de implementación del Esquema Nacional de Seguridad

PUNTO NORMA: ASPECTOS AMBIENTALES

CUALIFICACIÓN OPERACIÓN DE SISTEMAS INFORMÁTICOS PROFESIONAL. Nivel 2. Versión 5 Situación RD 1201/2007 Actualización

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP

IRONWALL Grupo MNEMO. Fernando García Vicent Director General. Zona para Logotipo organización (es)

mope SEGURIDAD INFORMÁTICA

Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A

PROCEDIMIENTO DE EVALUACIÓN Y ACREDITACIÓN DE LAS COMPETENCIAS PROFESIONALES CUESTIONARIO DE AUTOEVALUACIÓN PARA LAS TRABAJADORAS Y TRABAJADORES

PROCEDIMIENTO CONTROL DE REGISTROS

Curso TURGALICIA SISTEMA DE GESTIÓN DE SEGURIDAD Y SALUD EN EL TRABAJO OHSAS 18001:2.007

CÁMARA DE COMERCIO DE BUCARAMANGA DOCUMENTO DE SEGURIDAD

Seguridad de la Información. Seguridad. Ing. Max Lazaro Oficina Nacional de Gobierno Electrónico e Informática

Seguridad Informática: Introducción (II)

Manejo y Análisis de Incidentes de Seguridad Informática

6 - Aspectos Organizativos para la Seguridad

Marco normativo para el establecimiento de las medidas de seguridad

FORMACIÓN E-LEARNING. Curso de Seguridad Informática para Sistemas Operativos Windows y Linux en Empresas

Manual Online Gestión de Incidentes y Antivirus

UNIVERSIDAD DE BURGOS

En el artículo del mes pasado,

A la Dirección de Tecnología y Comunicaciones le corresponden las siguientes funciones generales:

Seguridad Informática

PROGRAMA DEL CURSO. SEGURIDAD EN EQUIPOS INFORMATICOS MF0486_3 90 horas MEDIO-AVANZADO DURACION:

Guía de indicadores de la gestión para la seguridad de la información. Guía Técnica

CUESTIONARIO AUDITORIAS ISO

VICEPRESIDENCIA DE OPERACIONES DEPARTAMENTO DE SISTEMAS

NORMA DE ADMINISTRACIÓN DE INCIDENTES DE SEGURIDAD

CONDICIONES TÉCNICAS PARA SERVICIO ILUMINACIÓN ZONAS WIFI PARA CLIENTES CORPORATIVOS. Vicepresidencia de Infraestructura

Haga clic para modificar el estilo de título del patrón Haga clic para modificar el estilo de texto del patrón

REGLAMENTO DE MEDIDAS DE SEGURIDAD DE LOS FICHEROS AUTOMATIZADOS QUE CONTENGAN DATOS DE CARÁCTER PERSONAL

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA

Códigos de buenas prácticas de seguridad. UNE-ISO/IEC Antonio Villalón Huerta Grupo S2

Norma ISO 14001: 2015

Norma de uso Identificación y autentificación Ministerio del Interior N02

UNIVERSIDAD DE ORIENTE FACULTAD DE CIENCIAS ECONOMICAS

Son funciones de la Unidad de Archivo las que a continuación se describen:

Políticas de Seguridad Lógica (Anexo 6)

GLOSARIO DE TÉRMINOS

MODELOS DE ESTRUCTURA PARA LAS DIRECCIONES DE INFORMÁTICA

Norma ISO 14001: 2004

Sistemas de información de laboratorio

OHSAS 18001: Sistema de Gestión de la Seguridad y Salud en el trabajo

Protección de Datos y Adecuación al Esquema Nacional. Puntos de encuentro y diferencias entre las normativas

Norma NTC-ISO/IEC Sistema de Gestión de Seguridad de Información

ASISTENCIA DOCUMENTAL Y DE GESTIÓN DE DESPACHOS Y OFICINAS.ADGG0308

DATA SECURITY SERVICIOS INTEGRALES, S.L.

Una Inversión en Protección de Activos

PROCEDIMIENTO DE EVALUACIÓN Y ACREDITACIÓN DE LAS COMPETENCIAS PROFESIONALES CUESTIONARIO DE AUTOEVALUACIÓN PARA LAS TRABAJADORAS Y TRABAJADORES

Seguridad de la Información: un reto para la empresa Seguridad TIC para la PYME

Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL

Declaración de los derechos en Internet

TALLER: ISO Ocean. Alejandro Tonatiuh López Vergara Geog. Miriam Ruiz Velasco

Estrategia de Seguridad del Ayuntamiento de Pozuelo de Alarcón para el cumplimiento del Esquema Nacional de Seguridad

INFORME DISPOSICION TRANSITORIA CUARTA DEL REAL DECRETO 1671/2009, DE 6 DE NOVIEMBRE, POR EL QUE SE DESARROLLA PARCIALMENTE LA LEY 11/2007, DE 22 DE

SEGURIDAD INFORMATICA RESPUESTA A INCIDENTES DE SEGURIDAD Y PLANES PARA LA CONTINUIDAD DEL NEGOCIO

Medidas de seguridad ficheros automatizados

LOPD EN L A E M P R E S A

ACUERDO DE CONFIDENCIALIDAD

Tenemos que tener en cuenta que los principales objetivos del ENS son:

Curso. Introducción a la Administracion de Proyectos

CRITERIOS DE EVALUACIÓN Y CALIFICACIÓN Administración de Sistemas Gestores de Bases de Datos

Master en Gestion de la Calidad

ÍNDICE. Índice 1. PLANTEAMIENTO Y OBJETIVOS DEL TRABAJO OBJETO INTRODUCCIÓN AL ESTANDAR OHSAS... 4

Iniciativa de Red Global Protegiendo y promoviendo la libertad de expresión y la privacidad en las tecnologías de información y comunicaciones

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO

Lo valoras, Optimiti Network lo protege. Seguridad a otro nivel { DISPONIBILIDAD } { CONFIDENCIALIDAD } { INTEGRIDAD } Credenciales 2015

INSTRUCTIVO DE PROCEDIMIENTOS

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DE LA UAL

IMPLANTACIÓN DE UN SISTEMA DE GESTIÓN Y MEJORA DE LA EFICIENCIA ENERGÉTICA SEGÚN LA NORMA UNE-EN 16001

SEGURIDAD INFORMÁTICA 2º SISTEMAS MICROINFORMÁTICOS Y REDES 1. CONTENIDOS MÍNIMOS PARA LA EVALUACIÓN POSITIVA

MÁSTER EN PREVENCIÓN DE RIESGOS LABORALES OBJETIVOS Y COMPETENCIAS

PROCEDIMIENTO DE EVALUACIÓN Y ACREDITACIÓN DE LAS COMPETENCIAS PROFESIONALES CUESTIONARIO DE AUTOEVALUACIÓN PARA LAS TRABAJADORAS Y TRABAJADORES

PROCEDIMIENTO GENERAL. Gestión y Control de Documentos y Registros de la Calidad RAZÓN SOCIAL DE LA EMPRESA. Código PG-01 Edición 0.

Gestión y Desarrollo de Requisitos en Proyectos Software

NORMAS DE USO ACEPTABLE Y SEGURIDAD DE LA RED DE DATOS DE LA UNIVERSIDAD AUTÓNOMA DE MADRID (U.A.M.)

Transcripción:

1 Seguridad en Sistemas Informáticos (SSI) Visión general de la seguridad informática Carlos Pérez Conde Departament d'informàtica Escola Técnica Superior d'enginyeria Universitat de València

2 Guión Riesgos y vulnerabilidades La política de seguridad Tratamiento de incidentes

3 Qué significa seguridad? "Un sistema informático (SI) es seguro si se puede depender de que se comporte tal y como de él se espera." [GS96, p. 6] Cualquier SI puede ser comprometido: errores sw/hw accidentes y causas naturales ataque con suficientes recursos y conocimientos Compromiso: cuántos recursos destinar? Política de seguridad Cómo debe comportarse el sistema? Cuánto esforzarse en garantizar que se cumple? Estrategia de seguridad cómo conseguirlo?

4 Concepto de seguridad Papel del profesional de seguridad: ayudar en el establecimiento de la política de seguridad diseñar e implantar la estrategia de seguridad comprobar que se cumple la política de seguridad La seguridad es un proceso prevención detección reacción Requiere participación universal

5 sistema nuevo asegurar preparar Recomendación del CERT (Center for Emergency Response Team) mejorar SKiP (Security Knowledge in Practice) http://www.cert.org/archive/pdf/skip.pdf detectar responder

6 sistema nuevo asegurar preparar mejorar configurar adecuadamente los sistemas para protegerlos frente a ataques conocidos - instalar lo mínimo (versiones recientes) - instalar los parches disponibles - denegar primero, permitir después - habilitar el máximo nivel de registro posible detectar responder

7 sistema nuevo asegurar preparar mejorar caracterizar el sistema para reconocer ataques/problemas nuevos/inesperados - definir el comportamiento esperado - identificar la información necesaria - gestionar los mecan. de recopilación de infor. - seleccionar, instalar y comprender las herramientas de respuesta detectar responder

8 sistema nuevo asegurar preparar mejorar monitorizar el comportamiento, analizar la necesidad de cambios - detección de comportamiento anómalo - avisos externos de vulnerabilidades - disponibilidad de nuevos parches - disponibilidad de nuevas versiones de sw detectar responder

9 sistema nuevo asegurar preparar mejorar recuperar el comportamiento normal del sistema - establecer el alcance del daño - contener los efectos - eliminar la posibilidad de nuevas intrusiones - devolver el sistema a su funcionamiento normal detectar responder

10 sistema nuevo asegurar preparar mejorar aprovechar el incidente para aumentar la seguridad del sistema - comunicarse con otros grupos afectados - reunirse para identificar lo aprendido - actualizar políticas y procedimientos - actualizar la configurac. de las herramientas, seleccionar nuevas herramientas detectar responder

11 sistema nuevo asegurar preparar Recomendación del CERT (Center for Emergency Response Team) mejorar SKiP (Security Knowledge in Practice) http://www.cert.org/archive/pdf/skip.pdf detectar responder

12 Guión Riesgos y vulnerabilidades La política de seguridad Tratamiento de incidentes

Requisitos de seguridad Secreto o confidencialidad lectura conocimiento de existencia Ejemplo: empresas e instituciones (patentes industriales, secretos de estado...) Integridad consistencia de la información modificación de los datos Ejemplo: modificación de un saldo Disponibilidad disponibilidad para los usuarios autorizados evitar el uso no autorizado Ejemplo: el gusano de Internet 26/02/08 Carlos Pérez, Dpto. de Informática, ETSE, UVEG 13

Amenazas a los componentes del sistema Soporte físico disponibilidad: el equipo puede ser dañado medidas físicas y administrativas Soporte lógico (sw) confidencialidad: copias no autorizadas integridad: modificación del sw disponibilidad: borrado o dañado del sw medidas: administración cuidadosa del sistema Datos confidencialidad: lectura, copia, información indirecta disponibilidad: eliminación, modificación del control de acceso integridad: modificación, creación medidas: administración + colaboración de los usuarios 26/02/08 Carlos Pérez, Dpto. de Informática, ETSE, UVEG 14

Principios de diseño Principio del menor privilegio cada acción realizada con los privilegios estrictamente necesarios Economía de mecanismos sencillez para verificación parte integral del diseño del sistema Aceptabilidad completos, pero sin interferencias innecesarias sencillos de utilizar Intervención completa todos los accesos deben ser controlados Diseño abierto los mecanismos de seguridad no deben ser secretos 26/02/08 Carlos Pérez, Dpto. de Informática, ETSE, UVEG 15

16 Guión Riesgos y vulnerabilidades La política de seguridad Tratamiento de incidentes

17 Políticas de seguridad Análisis previos: análisis de las necesidades de seguridad análisis de riesgos análisis de costes y beneficios La política de seguridad establece: qué se protege y por qué quién es responsable de esa protección cómo resolver problemas derivados de su aplicación La política de seguridad del sistema: debe ser impulsada por la administración de la empresa/institución debe ser conocida y comprendida por todos los usuarios

18 Creación de la política de seguridad Usos y costumbres de los usuarios Reglas (escritas y no escritas) y la cultura de la organización Redacción del documento específico claro conciso realista Política bien escrita fácil generar una lista de comprobación de que se cumple

19 Guión Riesgos y vulnerabilidades La política de seguridad Tratamiento de incidentes

Gestión de incidentes de seguridad Preparación Detección e identificación Contención contener y limpiar versus observar y aprender preparar futuros análisis mientras se limita el daño Erradicación reforzar las medidas de prevención (eliminar las nuevas vulnerabilidades) Recuperación necesidad de reforzar la vigilancia para comprobar la efectividad de los cambios Lecciones aprendidas 26/02/08 Carlos Pérez, Dpto. de Informática, ETSE, UVEG 20

Caso de ejemplo: 26/02/08 Carlos Pérez, Dpto. de Informática, ETSE, UVEG 21 descripción de incidentes de seguridad Ejemplo de incidente Sun Microsystems Java GIF image processing buffer overflow US-CERT: http://www.kb.cert.org/vuls/id/388289 CVE: http://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2007-0243 Preguntas cómo funciona? qué riesgos supone? cómo se puede resolver el problema? cómo se puede resolver el problema en opensuse 10.3? Cómo informar de un incidente? http://www.cert.org/tech_tips/incident_reporting.html

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback