Seguridad fisica e informatica
Se está descargando tu SlideShare.
×
![Miguel Torrealba S. [email_address] Seguridad Informática y de las Comunicaciones](https://image.slidesharecdn.com/introduccinalaseguridad-111208121830-phpapp01/75/introduccin-a-la-seguridad-1-2048.jpg?cb=1668289469)
Eche un vistazo a continuación
Más Contenido Relacionado
Presentaciones para usted (17)
Similares a Introducción a la seguridad (20)
Más de LauraCGP (20)
Introducción a la seguridad
- 1. Miguel Torrealba S. [email_address] Seguridad Informática y de las Comunicaciones
- 2. Tema 1 : Introducción Introducción a la Seguridad
- 3. Introducción Inseguridad Falta de seguridad (RAE). Seguridad Cualidad de seguro (RAE). Seguro Libre y exento de todo da ñ o, peligro o riesgo (RAE). Seguridad digital “ En el mundo real, la seguridad envuelve procesos. Esto incluye tecnolog í as de prevenci ó n, adem á s de procesos de detecci ó n y reacci ó n, y un completo sistema forense para atrapar y enjuiciar a los culpables. Seguridad no es un producto; por s í misma es un proceso ” . -Bruce Schneier- Proceso Conjunto de las fases sucesivas de un fen ó meno natural o de una operaci ó n artificial (RAE) . Inseguridad y seguridad
- 4. Introducción Vulnerabilidad Cualidad que hace que un sistema u objeto pueda ser da ñ ado, recibir alguna lesi ó n o se comporte como no se desea que lo haga. Amenaza Elemento que con el cu á l se puede hacer alg ú n mal a cierto sistema o parte del mismo. Peligro Riesgo o contingencia inminente de que suceda alg ú n mal (RAE). Riesgo La combinaci ó n de la probabilidad de un evento y sus consecuencias. Seguridad digital y tecnolog í a “ Si usted piensa que la tecnolog í a puede resolver sus problemas de seguridad, entonces usted no entiende los problemas y no comprende de tecnolog í a ” . -Bruce Schneier- Peligro y riesgo
- 5. Introducción Una visión sistematizada de la seguridad Vulnerabilidad Amenaza Programa para Explotar la debilidad Perjuicio Cracker Sistema Busca una Tiene Riesgo Busca una Ataque Permite elaborar Constituye Permite realizar Generaría un Sobre Faculta que exista Inseguridad Posibilita que sea Faculta que exista Beneficio Recae sobre el Generaría un Fabricante Hace Hace Usuario Administrador Posibilita que sea Hace
- 6. Introducción “ La seguridad informática práctica es una sucesión de acciones y reacciones, de ataques y de defensas”. Simson Garfinkel y Eugene Spafford (1999) La realidad de la seguridad es que …
- 7. Introducción “ El único sistema de computación realmente seguro es aquel que está apagado, incrustado en un bloque de concreto y sellado en una habitación forrada de plomo con guardias armados -y aún así tengo mis dudas." Dr. Eugene Spafford (1989) La realidad de la seguridad es que …
- 8. Introducción <ul><li>Recomendación X.800 ITU-T : permite definir los requerimientos de seguridad que requerirá un sistema </li></ul><ul><li>Un servicio de seguridad es el objeto de protección sobre un sistema abierto, provista por un protocolo de comunicación </li></ul><ul><li>Autenticación </li></ul><ul><li>Control de Acceso </li></ul><ul><li>No repudiación </li></ul><ul><li>Confidencialidad </li></ul><ul><li>Integridad </li></ul>Servicios de la seguridad digital
- 9. Introducción <ul><li>Servicios por afuera de la recomendación X.800 ITU-T </li></ul><ul><li>Disponibilidad </li></ul><ul><li>Autorización </li></ul><ul><li>Identificación </li></ul><ul><li>Facilidad para ser auditado </li></ul><ul><li>Anonimato </li></ul><ul><li>Reclamación de origen </li></ul><ul><li>Reclamación de propiedad </li></ul><ul><li>Protección frente a la réplica </li></ul><ul><li>Certificación </li></ul><ul><li>Referencia de tiempo </li></ul><ul><li>Confirmación de que una transacción se ejecutó </li></ul>Servicios de la seguridad digital
- 10. Introducción <ul><li>Es una estructura diseñada para detectar, prevenir, reaccionar, recuperarse y seguir un ataque a la seguridad. En caso de que el ataque ya haya acontecido, el mecanismo puede servir para reconstruir parcial o completamente el ataque y recopilar evidencia digital, que permita iniciar un proceso jurídico contra los responsables del caso. </li></ul><ul><li>Generalmente ningún mecanismo puede proveer todos los servicios de seguridad. </li></ul><ul><li>Es común que los mecanismos de seguridad hagan uso de técnicas de la seguridad (e.g. técnicas criptográficas o de criptoanálisis) </li></ul>Un mecanismo de seguridad digital
- 11. Introducción El rol de la confianza en la seguridad telemática <ul><li>Todo sistema de seguridad tiene una raíz de confianza. Pueden constituir elementos de confianza: </li></ul><ul><li>El fabricante. </li></ul><ul><li>El administrador. </li></ul><ul><li>El operador. </li></ul><ul><li>El usuario. </li></ul><ul><li>Un certificador. </li></ul><ul><li>Otro sistema. </li></ul>
- 12. Introducción Esquema para planificar la seguridad informática Fuente : Miguel Torrealba S.
- 13. Introducción Esquema para planificar la seguridad informática Fuente : Miguel Torrealba S.
- 14. Introducción Principios de la seguridad informática <ul><li>Principio del daño fácil </li></ul><ul><li>Principio de la protección temporal </li></ul><ul><li>Principio del eslabón más débil </li></ul><ul><li>Principio del menor privilegio </li></ul><ul><li>Principio de la separación de privilegios </li></ul><ul><li>Principio del estado seguro contra fallas </li></ul><ul><li>Principio de la aceptación económica de la protección </li></ul><ul><li>Principio de la aceptación del uso </li></ul><ul><li>Principio de la autoridad de los controles </li></ul><ul><li>Principio de la elongación y encogimiento del tiempo </li></ul><ul><li>Principio de la auditoría externa </li></ul><ul><li>Principio de la base de confianza </li></ul><ul><li>Principio de la toma de decisiones distribuidas </li></ul><ul><li>Principio de la consolidación de la información </li></ul><ul><li>Principio de la necesidad de proteger primero al protector </li></ul>
- 15. Introducción Estrategias de la seguridad informática <ul><li>Seguridad a través de la oscuridad </li></ul><ul><li>Seguridad a través de la revelación absoluta </li></ul><ul><li>Seguridad a través de la diversidad </li></ul><ul><li>Seguridad a través de la minoría </li></ul><ul><li>El coste como elemento crítico </li></ul><ul><li>El uso como el elemento crítico </li></ul><ul><li>La confidencialidad como el elemento crítico </li></ul><ul><li>La rapidez de respuesta como elemento crítico </li></ul>
- 16. Introducción Estrategias de la seguridad informática <ul><li>La mayoría de transacciones procesadas como elemento crítico </li></ul><ul><li>La simplicidad y facilidad de comprensión como eje central </li></ul><ul><li>La responsabilidad de la seguridad en manos de los expertos </li></ul><ul><li>La responsabilidad de la seguridad en manos de todos </li></ul><ul><li>La concepción de algo con base al peor caso </li></ul><ul><li>La concepción de algo con base al mejor caso </li></ul>
- 17. Introducción Tácticas de la seguridad informática <ul><li>La negación por omisión </li></ul><ul><li>La aceptación por omisión </li></ul><ul><li>Enumerar cada peligro </li></ul><ul><li>Enumerar cada bien </li></ul><ul><li>Acceso impedido por círculos de barreras </li></ul><ul><li>El uso de señuelos </li></ul><ul><li>Simulación de debilidad o fortaleza según convenga </li></ul><ul><li>Entregar un área para obtener otra </li></ul><ul><li>Pretender ir detrás de algo mientras se busca otra cosa </li></ul><ul><li>Emplear camuflaje </li></ul><ul><li>Atemorizar con el monitoreo continuo </li></ul><ul><li>Construir con ventajas operativas para uno mismo que están ocultas para el resto </li></ul><ul><li>Esconder la capacidad real de respuesta </li></ul>
- 18. Introducción Reglas de pulgar de la seguridad informática <ul><li>La visibilidad o invisibilidad de los controles puede perjudicar la administración técnica </li></ul><ul><li>La seguridad de un sistema de cifrado depende de la confidencialidad de la clave </li></ul><ul><li>Hacer públicas las sanciones por infracciones puede perjudicar la administración técnica </li></ul><ul><li>Cada nuevo punto de acceso agregado introduce un mayor riesgo y coste para proteger </li></ul><ul><li>No hay mecanismos técnicos para impedir la traición </li></ul><ul><li>A mayor complejidad de la protección, mayor es la dificultad para probar su efectividad </li></ul><ul><li>¿Quién custodia a los custodios? </li></ul><ul><li>La evidencia digital se desvanece aceleradamente </li></ul><ul><li>Intimidar, infiltrar, secuestrar, sabotear, robar y otros ataques también sirven para defenderse </li></ul>
- 19. Introducción Base de conocimientos de la seguridad informática <ul><li>Revisión de las “Mejores Prácticas de Seguridad”. </li></ul><ul><li>Adaptación de las “Publicaciones Especiales del NIST”. </li></ul><ul><li>Aplicación de la Serie de estándares 27000 de la ISO / IEC. </li></ul><ul><li>Listas de Comprobación específicas de los sistemas. </li></ul>
- 20. Introducción Base de conocimientos de la seguridad informática
- 21. Introducción Base de conocimientos de la seguridad informática
- 22. Introducción Base de conocimientos de la seguridad informática
- 23. Introducción “ Conoced al enemigo y conoceos vos mismos; en cien batallas nunca correréis ningún peligro”. Sun Tzu El Arte de la Guerra
