Seguridad Física y Seguridad Lógica César Farfán Masías [email_address] http://cesarfamas.blogspot.com
La Seguridad depende de procesos <ul><li>¿Quién necesita accesos a mis datos / servicios? </li></ul><ul><li>¿Cómo reconoce...
<ul><li>El estudio de la seguridad informática podríamos plantearlo desde dos enfoques distintos aunque complementarios: <...
Seguridad Física y Seguridad Lógica <ul><ul><li>La gestión de la seguridad está en medio de la dos: los planes de continge...
<ul><li>Veremos a continuación los tres principios básicos de la seguridad informática: el del acceso más fácil, el de la ...
1er principio de la seguridad informática sistema utilizará el artilugio que haga más fácil su acceso y posterior ataque. ...
2º principio de la seguridad informática <ul><li>P2: los datos confidenciales deben protegerse sólo hasta que ese secreto ...
3er principio de la seguridad informática <ul><li>P3: las medidas de control se implementan para que tengan un comportamie...
2º principio de la seguridad informática i <ul><li>P3: las medidas de control se implementan para que tengan un comportami...
Amenazas del sistema <ul><li>Las amenazas afectan principalmente al hardware, al software y a los datos. Éstas se deben a ...
Amenazas de interrupción Interrupción Intruso <ul><li>Se daña, pierde o deja de funcionar un punto del sistema. </li></ul>...
Amenazas más características <ul><li>Hardware:  </li></ul><ul><ul><li>Agua, fuego, electricidad, polvo, cigarrillos, comid...
Debilidades del sistema informático (1) <ul><li>Los tres primeros puntos conforman el llamado Triángulo de Debilidades del...
Debilidades del sistema informático (2) <ul><ul><li>Memoria: puede producirse la introducción de un virus, mal uso de la g...
El concepto de datos seguros <ul><li>Si se cumplen los principios vistos anteriormente, diremos en general que los datos e...
Sistema de cifra Medio de Transmisor Transmisión Receptor M C Cifrador Mensaje cifrado Descifrador Interceptación del mens...
Protección lógica y física de los datos <ul><li>Los datos deben protegerse aplicando: </li></ul><ul><li>Seguridad Lógica <...
<ul><li>Anclajes a mesas de trabajo. </li></ul><ul><li>Cerraduras  en puertas . </li></ul><ul><li>Tarjetas con alarma. </l...
Análisis de riesgo: plan estratégico <ul><li>Es el proceso de identificación y evaluación del riesgo a sufrir un ataque y ...
Información del análisis de riesgo <ul><li>Información que se obtiene en un análisis de riesgo: </li></ul><ul><ul><li>Dete...
Planes de contingencia <ul><li>Un Plan de Contingencia consiste en un  estudio y  análisis pormenorizado de las áreas que ...
Acciones a realizar en un SGSI <ul><li>El Plan de Contingencia será una herramienta imprescindible en un Sistema de Gestió...
Vandalismo informático y su prevención <ul><li>Terrorismo </li></ul><ul><li>Sabotaje </li></ul><ul><li>Robo </li></ul><ul>...
¿Qué sucede si se produce un desastre? <ul><li>Las empresas dependen hoy en día de los equipos informáticos y de todos los...
Pérdidas por no contar con plan estratégico <ul><li>Pérdida de clientes. </li></ul><ul><li>Pérdida de imagen. </li></ul><u...
Alternativas del plan de continuidad <ul><li>Instalaciones alternativas </li></ul><ul><ul><li>Oficina de servicios propia ...
Gracias
Próxima SlideShare
Cargando en…5
×

Seguridad logica fisica

12.061 visualizaciones

Publicado el

Seguirdad Fisica y Logica

Publicado en: Educación
1 comentario
1 recomendación
Estadísticas
Notas
Sin descargas
Visualizaciones
Visualizaciones totales
12.061
En SlideShare
0
De insertados
0
Número de insertados
373
Acciones
Compartido
0
Descargas
408
Comentarios
1
Recomendaciones
1
Insertados 0
No insertados

No hay notas en la diapositiva.

Seguridad logica fisica

  1. 1. Seguridad Física y Seguridad Lógica César Farfán Masías [email_address] http://cesarfamas.blogspot.com
  2. 2. La Seguridad depende de procesos <ul><li>¿Quién necesita accesos a mis datos / servicios? </li></ul><ul><li>¿Cómo reconoceré a esas personas? </li></ul><ul><li>¿ Que datos / servicios necesitarán? </li></ul><ul><li>¿ Cuanta seguridad realmente necesito? </li></ul><ul><li>¿ Que tan seguro es mi proceso existente? </li></ul><ul><li>¿Cómo puedo agrupar gente y definir roles para facilitar la administración? </li></ul><ul><li>Preguntas frecuentes </li></ul>
  3. 3. <ul><li>El estudio de la seguridad informática podríamos plantearlo desde dos enfoques distintos aunque complementarios: </li></ul><ul><ul><li>La Seguridad Física: puede asociarse a la protección del sistema ante las amenazas físicas, incendios, inundaciones, edificios, cables, control de accesos de personas, etc. </li></ul></ul><ul><ul><li>La Seguridad Lógica: protección de la información en su propio medio, mediante el enmascaramiento de la misma usando técnicas de criptografía. Este enfoque de las aplicaciones criptográficas, es el que será tratado a lo largo de los capítulos de este libro. </li></ul></ul>Seguridad Física y Seguridad Lógica
  4. 4. Seguridad Física y Seguridad Lógica <ul><ul><li>La gestión de la seguridad está en medio de la dos: los planes de contingencia, políticas de seguridad, normativas, etc. Aunque muy brevemente, este tema será tratado en un próximo capítulo. </li></ul></ul><ul><ul><li>No obstante, tenga en cuenta que esta clasificación en la práctica no es tan rigurosa. En resumidas cuentas, podríamos decir que cada vez está menos claro dónde comienza una y dónde termina la otra. </li></ul></ul>
  5. 5. <ul><li>Veremos a continuación los tres principios básicos de la seguridad informática: el del acceso más fácil, el de la caducidad del secreto y el de la eficiencia de las medidas tomadas. </li></ul>Principios de la seguridad informática <ul><li>Tras los acontecimientos del 11/09/2001 en Nueva York, los del 11/03/2004 en Madrid y los del 07/07/2005 en Londres, que echaron por tierra todos los planes de contingencia, incluso los más paranoicos, comenzamos a tener muy en cuenta las debilidades de los sistemas y valorar en su justa medida el precio de la seguridad. </li></ul>Es necesario aprender de los errores 
  6. 6. 1er principio de la seguridad informática sistema utilizará el artilugio que haga más fácil su acceso y posterior ataque. Existirá una diversidad de frentes desde los que puede producirse un ataque, tanto internos como externos. Esto dificultará el análisis de riesgo ya que el delincuente aplicará la filosofía del ataque hacia el punto más débil: el equipo o las personas. PREGUNTA: ¿Cuáles son los puntos débiles de un sistema informático ?
  7. 7. 2º principio de la seguridad informática <ul><li>P2: los datos confidenciales deben protegerse sólo hasta que ese secreto pierda su valor como tal. </li></ul><ul><li>Se habla, por tanto, de la caducidad del sistema de protección: tiempo en el que debe mantenerse la confidencialidad o secreto del dato. </li></ul><ul><li>Esto nos llevará a la fortaleza del sistema de cifra. </li></ul>
  8. 8. 3er principio de la seguridad informática <ul><li>P3: las medidas de control se implementan para que tengan un comportamiento efectivo, eficiente, sean fáciles de usar y apropiadas al medio. </li></ul><ul><ul><li>Efectivo: que funcionen en el momento oportuno. </li></ul></ul><ul><ul><li>Eficiente: que optimicen los recursos del sistema. </li></ul></ul><ul><ul><li>Apropiadas: que pasen desapercibidas para el usuario. </li></ul></ul><ul><ul><ul><ul><ul><li>Y lo más importante: ningún sistema de control resulta efectivo hasta que debemos utilizarlo al surgir la necesidad de aplicarlo. Junto con la concienciación de los usuarios, éste será uno de los grandes problemas de la Gestión de la Seguridad Informática. </li></ul></ul></ul></ul></ul>
  9. 9. 2º principio de la seguridad informática i <ul><li>P3: las medidas de control se implementan para que tengan un comportamiento efectivo, eficiente, sean fáciles de usar y apropiadas al medio. </li></ul><ul><ul><li>Efectivo: que funcionen en el momento oportuno. </li></ul></ul><ul><ul><li>Eficiente: que optimicen los recursos del sistema. </li></ul></ul><ul><ul><li>Apropiadas: que pasen desapercibidas para el usuario. </li></ul></ul><ul><ul><ul><ul><ul><li>Y lo más importante: ningún sistema de control resulta efectivo hasta que debemos utilizarlo al surgir la necesidad de aplicarlo. Junto con la concienciación de los usuarios, éste será uno de los grandes problemas de la Gestión de la Seguridad Informática. </li></ul></ul></ul></ul></ul>Seguridad Informática Medidas de control
  10. 10. Amenazas del sistema <ul><li>Las amenazas afectan principalmente al hardware, al software y a los datos. Éstas se deben a fenómenos de: </li></ul><ul><ul><li>Interrupción </li></ul></ul><ul><ul><li>Interceptación </li></ul></ul><ul><ul><li>Modificación </li></ul></ul><ul><ul><li>Generación </li></ul></ul>
  11. 11. Amenazas de interrupción Interrupción Intruso <ul><li>Se daña, pierde o deja de funcionar un punto del sistema. </li></ul><ul><li>Su detección es inmediata. </li></ul>Ejemplos: Destrucción del hardware. Borrado de programas, datos. Fallos en el sistema operativo.
  12. 12. Amenazas más características <ul><li>Hardware: </li></ul><ul><ul><li>Agua, fuego, electricidad, polvo, cigarrillos, comida. </li></ul></ul><ul><li>Software: </li></ul><ul><ul><li>Además de algunos típicos del hardware, borrados accidentales o intencionados, estática, fallos de líneas de programa, bombas lógicas, robo, copias ilegales. </li></ul></ul><ul><li>Datos: </li></ul><ul><ul><li>Tiene los mismos puntos débiles que el software. Pero hay dos problemas añadidos: no tienen valor intrínseco pero sí su interpretación y, por otra parte, habrá datos de carácter personal y privado que podrían convertirse en datos de carácter público: hay leyes que lo protegen. </li></ul></ul>
  13. 13. Debilidades del sistema informático (1) <ul><li>Los tres primeros puntos conforman el llamado Triángulo de Debilidades del Sistema: </li></ul><ul><ul><li>Hardware: pueden producirse errores intermitentes, conexiones sueltas, desconexión de tarjetas, etc. </li></ul></ul><ul><ul><li>Software: puede producirse la sustracción de programas, ejecución errónea, modificación, defectos en llamadas al sistema, etc. </li></ul></ul><ul><ul><li>Datos: puede producirse la alteración de contenidos, introducción de datos falsos, manipulación fraudulenta de datos, etc. </li></ul></ul>HARDWARE - SOFTWARE - DATOS MEMORIA - USUARIOS
  14. 14. Debilidades del sistema informático (2) <ul><ul><li>Memoria: puede producirse la introducción de un virus, mal uso de la gestión de memoria, bloqueo del sistema, etc. </li></ul></ul><ul><ul><li>Usuarios: puede producirse la suplantación de identidad, el acceso no autorizado, visualización de datos confidenciales, etc. </li></ul></ul><ul><li>Es muy difícil diseñar un plan que contemple minimizar de forma eficiente todas estas amenazas, y que además se entienda y pase desapercibido por los usuarios. </li></ul><ul><li>Debido al principio de acceso más fácil, el responsable de seguridad informática no se deberá descuidar ninguno de los cinco elementos susceptibles de ataque al sistema. </li></ul>
  15. 15. El concepto de datos seguros <ul><li>Si se cumplen los principios vistos anteriormente, diremos en general que los datos están protegidos y seguros. </li></ul>Confidencialidad Integridad Disponibilidad Datos Seguros DATOS Esto se entiende en el siguiente sentido: los datos sólo pueden ser conocidos por aquellos usuarios que tienen privilegios sobre ellos, sólo usuarios autorizados los podrán crear o bien modificar, y tales datos deberán estar siempre disponibles. DATOS DATOS DATOS
  16. 16. Sistema de cifra Medio de Transmisor Transmisión Receptor M C Cifrador Mensaje cifrado Descifrador Interceptación del mensaje por un intruso T R MT C M Sea cual sea el medio de transmisión o almacenamiento (enlace, red telefónica, red de datos, disco magnético, disco óptico, etc.), éste será siempre y por definición un medio inseguro . Por lo tanto, habrá que adaptarse a este medio usando el cifrado. Tal vez esto deje de ser cierto en los futuros sistemas con criptografía cuántica. Usurpación de identidad por un intruso
  17. 17. Protección lógica y física de los datos <ul><li>Los datos deben protegerse aplicando: </li></ul><ul><li>Seguridad Lógica </li></ul><ul><ul><li>Uso de herramientas de protección de la información en el mismo medio en el que se genera o transmite. </li></ul></ul><ul><ul><li>Protocolos de autenticación entre cliente y servidor. </li></ul></ul><ul><ul><li>Aplicación de herramientas de seguridad en redes. </li></ul></ul><ul><ul><li>Se incluyen también medidas de prevención de riesgos y la instauración de políticas de seguridad, de planes de contingencia, de recuperación ante desastres, aplicación de normativas, la legislación vigente, etc. </li></ul></ul><ul><li>Seguridad Física </li></ul><ul><ul><li>Procedimientos de protección física del sistema: acceso personas, incendio, agua, terremotos, etc. </li></ul></ul>
  18. 18. <ul><li>Anclajes a mesas de trabajo. </li></ul><ul><li>Cerraduras en puertas . </li></ul><ul><li>Tarjetas con alarma. </li></ul><ul><li>Etiquetas con adhesivos especiales. </li></ul><ul><li>Bloqueo de unidades externas . </li></ul><ul><li>Protectores de teclado. </li></ul><ul><li>Tarjeta de control de acceso al hardware. </li></ul><ul><li>Sistema de su ministro continuo de corriente. </li></ul><ul><li>Toma de tierra. </li></ul><ul><li>Eliminación de la estática... etc. </li></ul>La seguridad física en entornos de PCs Temas a tener en cuenta en un entorno de PCs
  19. 19. Análisis de riesgo: plan estratégico <ul><li>Es el proceso de identificación y evaluación del riesgo a sufrir un ataque y perder datos, tiempo y horas de trabajo, comparándolo con el costo que significaría la prevención de este suceso. </li></ul><ul><li>Su análisis no sólo nos lleva a establecer un nivel adecuado de seguridad, sino que permite conocer mejor el sistema que vamos a proteger. </li></ul><ul><li>Le recomiendo descargar estas herramientas de libre distribución para el análisis de riesgo desde las direcciones que se indican: </li></ul>
  20. 20. Información del análisis de riesgo <ul><li>Información que se obtiene en un análisis de riesgo: </li></ul><ul><ul><li>Determinación precisa de los recursos sensibles de la organización. </li></ul></ul><ul><ul><li>Identificación de las amenazas del sistema. </li></ul></ul><ul><ul><li>Identificación de las vulnerabilidades específicas del sistema. </li></ul></ul><ul><ul><li>Identificación de posibles pérdidas. </li></ul></ul><ul><ul><li>Identificación de la probabilidad de ocurrencia de una pérdida. </li></ul></ul><ul><ul><li>Derivación de contramedidas efectivas. </li></ul></ul><ul><ul><li>Identificación de herramientas de seguridad. </li></ul></ul><ul><ul><li>Implementación de un sistema de seguridad eficiente en costes y tiempo. </li></ul></ul>
  21. 21. Planes de contingencia <ul><li>Un Plan de Contingencia consiste en un estudio y análisis pormenorizado de las áreas que componen la organización y que nos servirá para establecer una política de recuperación ante un desastre. </li></ul><ul><ul><li>Es un conjunto de datos estratégicos de la empresa y que se plasma en un documento con el fin de protegerse ante eventualidades. </li></ul></ul><ul><li>Además de aumentar su seguridad, con un plan estratégico la empresa también gana en el conocimiento de sus fortalezas y sus debilidades. </li></ul><ul><li>Pero si no lo hace, se expone a sufrir una pérdida irreparable mucho más costosa que la implantación de este plan. </li></ul>
  22. 22. Acciones a realizar en un SGSI <ul><li>El Plan de Contingencia será una herramienta imprescindible en un Sistema de Gestión de la Seguridad Informática (SGSI). Acciones: </li></ul><ul><li>Planificar: estudiar la implantación de la política de seguridad adoptada, alcances que tendrá la gestión, análisis de riesgos que se harán, establecimiento de controles que activaremos, etc. </li></ul><ul><li>Hacer: implantar el sistema de gestión, poner y activar los controles, registros e indicadores. Toma de datos del estado de la seguridad. </li></ul><ul><li>Verificar: realizar una auditoría interna para comprobar el grado de cumplimiento de nuestro sistema. </li></ul><ul><li>Actuar: realizar el seguimiento de la gestión y tomar las medidas correctivas así como las acciones preventivas correspondientes. </li></ul><ul><li>Se cierra el ciclo ajustando las acciones planificadas si fuera el caso. </li></ul><ul><li>Ciclo más conocido por las siglas PDCA (Plan - Do - Check - Act) </li></ul>
  23. 23. Vandalismo informático y su prevención <ul><li>Terrorismo </li></ul><ul><li>Sabotaje </li></ul><ul><li>Robo </li></ul><ul><li>Virus </li></ul><ul><li>Chantaje informático </li></ul><ul><li>Programas malignos </li></ul><ul><li>Medidas de prevención </li></ul><ul><ul><li>Fortificación de entradas </li></ul></ul><ul><ul><li>Guardia Jurado </li></ul></ul><ul><ul><li>Patrullas de seguridad </li></ul></ul><ul><ul><li>Circuito cerrado TV </li></ul></ul><ul><ul><li>Control físico de accesos </li></ul></ul><ul><ul><li>Protección de software y hardware con antivirus, cortafuegos, detección de intrusos, etc. </li></ul></ul><ul><ul><li>Seguimiento de las políticas de seguridad de la empresa. </li></ul></ul>
  24. 24. ¿Qué sucede si se produce un desastre? <ul><li>Las empresas dependen hoy en día de los equipos informáticos y de todos los datos que hay allí almacenados (nóminas, clientes, facturas, ...). </li></ul><ul><li>Dependen también cada vez más de las comunicaciones a través de las redes de datos. </li></ul><ul><li>Si falla el sistema informático y éste no puede recuperarse, la empresa puede desaparecer porque no tiene tiempo de salir nuevamente al mercado con ciertas expectativas de éxito, aunque conserve a todo su personal. </li></ul>
  25. 25. Pérdidas por no contar con plan estratégico <ul><li>Pérdida de clientes. </li></ul><ul><li>Pérdida de imagen. </li></ul><ul><li>Pérdida de ingresos por beneficios. </li></ul><ul><li>Pérdida de ingresos por ventas y cobros. </li></ul><ul><li>Pérdida de ingresos por producción. </li></ul><ul><li>Pérdida de competitividad en el mercado . </li></ul><ul><li>Pérdida de credibilidad en el sector. </li></ul>
  26. 26. Alternativas del plan de continuidad <ul><li>Instalaciones alternativas </li></ul><ul><ul><li>Oficina de servicios propia </li></ul></ul><ul><ul><li>Acuerdo con empresa vendedora de HW y SW </li></ul></ul><ul><ul><li>Acuerdo recíproco entre dos o más empresas </li></ul></ul><ul><ul><li>Arranque en frío : sala vacía propia </li></ul></ul><ul><ul><li>Arranque en caliente: centro equipado </li></ul></ul><ul><ul><li>Sistema Up Start: caravana, unidad móvil </li></ul></ul><ul><ul><li>Sistema Hot Start: centro gemelo </li></ul></ul>Algunas soluciones pueden resultar de muy alto costo. Su elección dependerá entonces de las características de nuestra empresa y qué tan crítico debe ser ese plan de continuidad acorde con ello.
  27. 27. Gracias

×