SlideShare una empresa de Scribd logo

I.1 conceptos_de_seguridad

Jesus Vilchez
Jesus Vilchez

Este documento presenta una introducción a los sistemas de seguridad en redes. Explica brevemente la situación actual de la seguridad, incluyendo estadísticas sobre tipos comunes de ataques. También discute sobre hackers y los pilares fundamentales de la seguridad como la confidencialidad, disponibilidad e integridad. Además, describe una estrategia de seguridad multicapa y algunos estándares de seguridad importantes como ISO 27001.

1 de 35
Descargar para leer sin conexión
Datos del Profesor: Ing. Jesús Vílchez Sandoval CIP 129615 email:jvilchez@utp.edu.pe http://jesusvilchez.wordpress.com móvil: (51)99 407*1449 / (51)9 9368 0094 Coordinador de la Oficina de Calidad y Acreditación - FIEM
Ing. Jesús Vílchez Sandoval Sistemas de SEGURIDAD EN REDES Basado en la presentación del Mg. Jean del Carpio
Todos los sistemas son vulnerables lo importante es que se actualicen. Microsoft no es más vulnerable pero sí más apetitoso. Un ataque a un sistema que usan muchas personas tiene más relevancia. —Kevin Mitnick Contenido Situación Actual de la Seguridad Hackers – Paranoia o Realidad Pilares de Seguridad Estrategia de Seguridad Multicapa Estándares de Seguridad © Copyright Ing. Jesús Vílchez, 2012 Derechos Reservados
Situación actual de seguridad «El ordenador nació para resolver problemas que antes no existían» -- Bill Gates
CSI Computer Crime and Security Survey Tipos de Ataques Experimentados La situación actual de la seguridad ha variado notablemente desde que los gusanos y virus han afectado seriamente a las organizaciones
CSI Computer Crime and Security Survey Acciones tomadas luego de un incidente La situación actual de la seguridad ha variado notablemente desde que los gusanos y virus han afectado seriamente a las organizaciones
CSI Computer Crime and Security Survey Tipos de tecnologías de seguridad Las empresas vienen implementando diversos sistemas de seguridad cada vez mas efectivos y eficientes, para mejorar sus sistemas de seguridad.
Policía Informática www.policiainformatica.gob.pe Pagina principal de la policía informática, en esta pagina se puede apreciar como la policía nacional del Perú también ha tomado en cuenta el crimen tecnológico. Aquí se pueden apreciar algunos casos que han sido resueltos y que se colocan como ejemplo para que los ciudadanos sepan que este tipo de crímenes también se realizan en nuestro país.
Hackers Paranoia o Realidad «Las contraseñas son como la ropa interior. No puedes dejar que nadie la vea, debes cambiarla regularmente y no debes compartirla con extraños» -- Chris Pirillo
Los Hackers mas Famosos Jhon Draper 1970 Steve Wozniak 1972 Richard Stallman 1985 Robert Tappan 1988 Usualmente la palabra "hacker" suele tener una connotación despectiva o negativa, pues se relaciona a acciones ilícitas. Por ello, actualmente existen otras denominaciones para mencionar a quienes utilizan sus conocimientos con fines maliciosos, tales como “piratas informáticos” o “hackers de Kevin Mitnick 1995 sombrero negro”.
Hackers - mito o realidad Lo que se debe saber de los hackers • Se encuentran en todos lados. • No necesariamente son genios. • El Administrador de seguridad debe desconfiar de todos, incluso de sí mismo. • El sistema es tan seguro como la competencia de su administrador. Lo que ellos buscan • Pueden tener información valiosa. • Pueden ser utilizados para atacar a otros. • Pueden ser usados para almacenar información robada..
MITOS DE SEGURIDAD » El sistema puede llegar al 100% de seguridad » Mi red no es lo suficiente mente atractiva para ser tomada en cuenta » Nadie pensará que mi clave de acceso es sencilla » Linux es más seguro que Windows » Si mi servidor de correos tiene antivirus, mi estación no lo necesita
EL VALOR DE LA INFORMACION Lainformación es unactivo vital para el éxito y la continuidad en el mercado de cualquier organización Fuente: ISO 27000:2005.
Pilares de Seguridad Confidencialidad, Disponibilidad e Integridad
Pilares de Seguridad (ISO 17799) • Acceso a la información únicamente por parte de Confidencialidad quienes estén autorizados • Acceso a la información y a los sistemas, por parte Disponibilidad de los usuarios autorizados cuando lo requieran • Mantenimiento de la exactitud y completitud de la Integridad información y sus métodos de proceso
Complementan los Pilares de Seguridad • Proceso de comprobación de las credenciales emitidas por el usuario o Autenticación servicio durante el proceso de autenticación • Confirmación de la identidad del usuario o No proceso que ha ejecutado una acción. repudiación Para los procesos de autenticación y no repudiación se hace uso de firmas digitales.
Estrategia de seguridad multicapa «El ordenador nació para resolver problemas que antes no existían» -- Bill Gates
Tenga acceso en cualquier lugar » La estrategia de seguridad más eficiente es establecer un sistema por capas, empezando por los primeros niveles de acceso hasta los datos mismos.
Defensa de Perímetro Divida una presentación de gran tamaño organizándola en secciones. Seguridad Multicapa Es la puerta de acceso a la red de datos desde el Exterior
Defensa de Red Es la red de datos interna de la organización. Compuesta de ruteadores, switches, AP y otros dispositivos. Seguridad Multicapa
Defensa de Host Asociada a la defensa del Sistema operativo de la Estación, servidor (hardening). Seguridad Multicapa
Defensa de Aplicaciones Divida una presentación de gran tamaño organizándola en secciones. Seguridad Multicapa
Defensa de Datos y Recursos Es el último escalón de la “cadena de seguridad”. Seguridad Multicapa
Anexo Estándares de Seguridad
Estándares de Seguridad Los estándares de seguridad definen los requerimientos, procedimientos, instructivos, normas, planteamientos, etc. Existen varios estándares de seguridad:  ISO 7498-2  ISO 17799 (BS 7799)  TCSEC  ISO 15408
ISO 7498-2 (Jul. 1988) Security Architectured Describe el modelo de referencia OSI, presenta en su parte 2 una Arquitectura de seguridad. Según esta arquitectura de seguridad para proteger las comunicaciones de los usuarios en las redes. Define cinco elementos básicos que constituyen la seguridad de un sistema:  La confidencialidad de los datos.  La autenticación de los datos.  La integridad de los datos  El control de acceso (disponibilidad).  El no repudio. Para implementar sistemas de seguridad define mecanismos de seguridad los cuales son específicos (specific) y amplios (wide).
ISO 17799  ISO 27001 Bosqueja las amenazas de red y controles que se pueden implementar para disminuir la probabilidad de un ataque. Vulnerabilidad. Algo sobre lo cual el administrador es responsable. Amenaza. Algo sobre lo que se tiene poco control. Requiere que la organización controle 10 áreas específicas:  Políticas de seguridad.  Organización de seguridad.  Control y clasificación de bienes.  Seguridad del personal.  Seguridad ambiental y física.  Administración de redes y computadoras  Sistemas de control de acceso.  Control de desarrollo de sistemas.  Planificación de continuidad de negocios.  Auditoría y conformidad.
ISO 17799  ISO 27001 Código prácticas de seguridad aceptado en todo el mundo. Define cuatro fases de implementación: Fase 1: VALORACION Determina la situación actual y define los requerimientos de seguridad Fase 2: DISEÑO Desarrollo de la solución con recomendaciones y un plan detallado de implementación Fase 3: DESPLIEGUE Evaluación del diseño. Define y documenta políticas, estándares, y procedimientos operacionales Fase 4: ADMINISTRACION Manejo de la solución implementada
TCSEC Trusted Computer System Evaluation Criteria Criterios de evaluación de la seguridad de los sistemas de computación, conocidos también con el nombre de Orange Book (Libro naranja), definidos originalmente por el Ministerio de Defensa de los EE.UU. Los TCSEC definen siete conjuntos de criterios de evaluación denominados clases (D, C1, C2, B1, B2, B3 y A1). Cada clase de criterios cubre cuatro aspectos de la evaluación:  Política de seguridad  Imputabilidad  Aseguramiento  Documentación.
TCSEC Trusted Computer System Evaluation Criteria Los criterios correspondientes a estas cuatro áreas van ganando en detalle de una clase a otra, constituyendo una jerarquía en la que D es el nivel más bajo y A1 él más elevado. Todas las clases incluyen requisitos tanto de funcionalidad como de confianza.
TCSEC Trusted Computer System Evaluation Criteria Nivel de Descripción Seguridad D Sin seguridad. P.e. DOS C1 Protección de seguridad discrecional. El sistema no diferencia entre usuarios. C2 Seguridad de acceso discrecional. El sistema diferencia entre usuarios pero los trata de manera única. La protección de nivel de sistema existe para los recursos de datos, archivos, y procesos. Windows 2000, Linux. B1 Protección de seguridad etiquetada. Seguridad por niveles. Provee controles de acceso mandatario dónde ubica los los recursos en compartimientos, aislando usuarios en celdas y ofreciendo mayores protección. AT&T System V B2 Protección estructurada. Seguridad en hardware. Las áreas de memoria son segmentadas virtualmente y rígidamente protegidas. Trusted XENIX, Honeywell MULTICS. B3 Dominios de Seguridad. Ocultamiento de datos y establecimiento de capas: previene interacción entre las capas. Honeywell Federal System XTS- 200. A1 Diseño verificado. Pruebas matemáticas rigurosas que demuestran que el sistema no puede ser comprometido. Honeywell SCOMP.
Common Criteria – ISO 15408 Allá por los años 90 surgió la necesidad de conocer qué requisitos de seguridad satisfacía un determinado software, hardware o firmware. Mediante la combinación de los criterios aplicados en Inglaterra, Estados Unidos y Canadá, se constituyó y adoptó por la International Organization for Standardization los Criterios Comunes de Evaluación de Seguridad para Tecnologías de la Información. El principal objetivo es poner de acuerdo a clientes, desarrolladores y testers sobre qué requisitos de seguridad cumple un determinado producto.
Common Criteria – ISO 15408 Conceptos claves: Protection Profile (PP). Documento que define las necesidades de seguridad. Security Target (ST). Declaración de los fabricantes que describe la seguridad de productos y/o sistemas. Target of Evaluation (ToE). Producto o sistema a ser evaluado. Basado en PP y ST. Evaluation Assurance Levels (EAL). Niveles de evaluación de seguridad.
? Preguntas ¡Vea las diapositivas desde cualquier lugar!
SEGURIDAD EN REDES FIN SESION 01

Recomendados

Unidad 1: Conceptos Generales
Unidad 1: Conceptos GeneralesUnidad 1: Conceptos Generales
Unidad 1: Conceptos Generales
dsiticansilleria
 
Presentacion seguridad en_linux
Presentacion seguridad en_linuxPresentacion seguridad en_linux
Presentacion seguridad en_linux
Nbsecurity
 
Preguntas seguridad informática
Preguntas seguridad informáticaPreguntas seguridad informática
Preguntas seguridad informática
morfouz
 
Unidad 2: Ámbitos de seguridad
Unidad 2: Ámbitos de seguridadUnidad 2: Ámbitos de seguridad
Unidad 2: Ámbitos de seguridad
dsiticansilleria
 
Preguntas de diagnostico sobre Seguridad Informatica
Preguntas de diagnostico sobre Seguridad InformaticaPreguntas de diagnostico sobre Seguridad Informatica
Preguntas de diagnostico sobre Seguridad Informatica
Pedro Cobarrubias
 
Marco
MarcoMarco
Marco
marco080030557
 
Seguridad de la Informacion
Seguridad de la InformacionSeguridad de la Informacion
Seguridad de la Informacion
Digetech.net
 
Seguridad Informática
Seguridad InformáticaSeguridad Informática
Seguridad Informática
lamugre
 

Recomendados

Unidad 1: Conceptos Generales
Unidad 1: Conceptos GeneralesUnidad 1: Conceptos Generales
Unidad 1: Conceptos Generales
dsiticansilleria
 
Presentacion seguridad en_linux
Presentacion seguridad en_linuxPresentacion seguridad en_linux
Presentacion seguridad en_linux
Nbsecurity
 
Preguntas seguridad informática
Preguntas seguridad informáticaPreguntas seguridad informática
Preguntas seguridad informática
morfouz
 
Unidad 2: Ámbitos de seguridad
Unidad 2: Ámbitos de seguridadUnidad 2: Ámbitos de seguridad
Unidad 2: Ámbitos de seguridad
dsiticansilleria
 
Preguntas de diagnostico sobre Seguridad Informatica
Preguntas de diagnostico sobre Seguridad InformaticaPreguntas de diagnostico sobre Seguridad Informatica
Preguntas de diagnostico sobre Seguridad Informatica
Pedro Cobarrubias
 
Marco
MarcoMarco
Marco
marco080030557
 
Seguridad de la Informacion
Seguridad de la InformacionSeguridad de la Informacion
Seguridad de la Informacion
Digetech.net
 
Seguridad Informática
Seguridad InformáticaSeguridad Informática
Seguridad Informática
lamugre
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
Camilo Hernandez
 
Marco
MarcoMarco
Marco
marco080030557
 
Seguridad fisica e informatica
Seguridad fisica e informaticaSeguridad fisica e informatica
Seguridad fisica e informatica
Anahi1708
 
Objetivos de la seguridad informatica y posibles riesgos
Objetivos de la seguridad informatica y posibles riesgosObjetivos de la seguridad informatica y posibles riesgos
Objetivos de la seguridad informatica y posibles riesgos
Sen Alonzo
 
DSEI_ACD_GURV
DSEI_ACD_GURVDSEI_ACD_GURV
DSEI_ACD_GURV
ramirezguill
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
Abel Caín Rodríguez Rodríguez
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
Pedro Trelles Araujo
 
Tema 1 - Introducción a la Seguridad Informática
Tema 1 - Introducción a la Seguridad Informática Tema 1 - Introducción a la Seguridad Informática
Tema 1 - Introducción a la Seguridad Informática
Daniel Pecos Martínez
 
1a seguridad informatica
1a seguridad informatica1a seguridad informatica
1a seguridad informatica
Jorge Victor Velasquez Roque
 
Unidad 3: Riesgos de la información.
Unidad 3: Riesgos de la información.Unidad 3: Riesgos de la información.
Unidad 3: Riesgos de la información.
dsiticansilleria
 
Seguridad de la información
Seguridad de la informaciónSeguridad de la información
Seguridad de la información
Universidad de Los Andes (ULA)
 
La Seguridad Informática en la actualidad
La Seguridad Informática en la actualidadLa Seguridad Informática en la actualidad
La Seguridad Informática en la actualidad
Diego Ramos
 
SEGURIDAD INFORMÁTICA Y POLICIA INFORMÁTICA
SEGURIDAD INFORMÁTICA Y POLICIA INFORMÁTICASEGURIDAD INFORMÁTICA Y POLICIA INFORMÁTICA
SEGURIDAD INFORMÁTICA Y POLICIA INFORMÁTICA
contiforense
 
Preguntas seguridad informática
Preguntas seguridad informáticaPreguntas seguridad informática
Preguntas seguridad informática
morfouz
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
marthamnd
 
Seguridad informatica en_slp
Seguridad informatica en_slpSeguridad informatica en_slp
Seguridad informatica en_slp
David Gtz
 
Seguridad fisica y logica
Seguridad fisica y logicaSeguridad fisica y logica
Seguridad fisica y logica
Ing. LucioJAP
 
Seguridad de la informacion mitos y tecnologias
Seguridad de la informacion mitos y tecnologiasSeguridad de la informacion mitos y tecnologias
Seguridad de la informacion mitos y tecnologias
Maurice Frayssinet
 
Trabajo Unificado De Seg Inform
Trabajo Unificado De Seg InformTrabajo Unificado De Seg Inform
Trabajo Unificado De Seg Inform
pachiuss
 
Cid
CidCid
Cid
Cristina Leiva Fajardo
 
Concienciacion en ciberseguridad y buenas prácticas
Concienciacion en ciberseguridad y buenas prácticas Concienciacion en ciberseguridad y buenas prácticas
Concienciacion en ciberseguridad y buenas prácticas
Javier Tallón
 
seguridad
seguridadseguridad
seguridad
mariavictoria0000
 

Más contenido relacionado

La actualidad más candente

Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
Camilo Hernandez
 
Marco
MarcoMarco
Marco
marco080030557
 
Seguridad fisica e informatica
Seguridad fisica e informaticaSeguridad fisica e informatica
Seguridad fisica e informatica
Anahi1708
 
Objetivos de la seguridad informatica y posibles riesgos
Objetivos de la seguridad informatica y posibles riesgosObjetivos de la seguridad informatica y posibles riesgos
Objetivos de la seguridad informatica y posibles riesgos
Sen Alonzo
 
DSEI_ACD_GURV
DSEI_ACD_GURVDSEI_ACD_GURV
DSEI_ACD_GURV
ramirezguill
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
Abel Caín Rodríguez Rodríguez
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
Pedro Trelles Araujo
 
Tema 1 - Introducción a la Seguridad Informática
Tema 1 - Introducción a la Seguridad Informática Tema 1 - Introducción a la Seguridad Informática
Tema 1 - Introducción a la Seguridad Informática
Daniel Pecos Martínez
 
1a seguridad informatica
1a seguridad informatica1a seguridad informatica
1a seguridad informatica
Jorge Victor Velasquez Roque
 
Unidad 3: Riesgos de la información.
Unidad 3: Riesgos de la información.Unidad 3: Riesgos de la información.
Unidad 3: Riesgos de la información.
dsiticansilleria
 
Seguridad de la información
Seguridad de la informaciónSeguridad de la información
Seguridad de la información
Universidad de Los Andes (ULA)
 
La Seguridad Informática en la actualidad
La Seguridad Informática en la actualidadLa Seguridad Informática en la actualidad
La Seguridad Informática en la actualidad
Diego Ramos
 
SEGURIDAD INFORMÁTICA Y POLICIA INFORMÁTICA
SEGURIDAD INFORMÁTICA Y POLICIA INFORMÁTICASEGURIDAD INFORMÁTICA Y POLICIA INFORMÁTICA
SEGURIDAD INFORMÁTICA Y POLICIA INFORMÁTICA
contiforense
 
Preguntas seguridad informática
Preguntas seguridad informáticaPreguntas seguridad informática
Preguntas seguridad informática
morfouz
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
marthamnd
 
Seguridad informatica en_slp
Seguridad informatica en_slpSeguridad informatica en_slp
Seguridad informatica en_slp
David Gtz
 
Seguridad fisica y logica
Seguridad fisica y logicaSeguridad fisica y logica
Seguridad fisica y logica
Ing. LucioJAP
 

La actualidad más candente (17)

Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Marco
MarcoMarco
Marco
 
Seguridad fisica e informatica
Seguridad fisica e informaticaSeguridad fisica e informatica
Seguridad fisica e informatica
 
Objetivos de la seguridad informatica y posibles riesgos
Objetivos de la seguridad informatica y posibles riesgosObjetivos de la seguridad informatica y posibles riesgos
Objetivos de la seguridad informatica y posibles riesgos
 
DSEI_ACD_GURV
DSEI_ACD_GURVDSEI_ACD_GURV
DSEI_ACD_GURV
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
 
Tema 1 - Introducción a la Seguridad Informática
Tema 1 - Introducción a la Seguridad Informática Tema 1 - Introducción a la Seguridad Informática
Tema 1 - Introducción a la Seguridad Informática
 
1a seguridad informatica
1a seguridad informatica1a seguridad informatica
1a seguridad informatica
 
Unidad 3: Riesgos de la información.
Unidad 3: Riesgos de la información.Unidad 3: Riesgos de la información.
Unidad 3: Riesgos de la información.
 
Seguridad de la información
Seguridad de la informaciónSeguridad de la información
Seguridad de la información
 
La Seguridad Informática en la actualidad
La Seguridad Informática en la actualidadLa Seguridad Informática en la actualidad
La Seguridad Informática en la actualidad
 
SEGURIDAD INFORMÁTICA Y POLICIA INFORMÁTICA
SEGURIDAD INFORMÁTICA Y POLICIA INFORMÁTICASEGURIDAD INFORMÁTICA Y POLICIA INFORMÁTICA
SEGURIDAD INFORMÁTICA Y POLICIA INFORMÁTICA
 
Preguntas seguridad informática
Preguntas seguridad informáticaPreguntas seguridad informática
Preguntas seguridad informática
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Seguridad informatica en_slp
Seguridad informatica en_slpSeguridad informatica en_slp
Seguridad informatica en_slp
 
Seguridad fisica y logica
Seguridad fisica y logicaSeguridad fisica y logica
Seguridad fisica y logica
 

Similar a I.1 conceptos_de_seguridad

Seguridad de la informacion mitos y tecnologias
Seguridad de la informacion mitos y tecnologiasSeguridad de la informacion mitos y tecnologias
Seguridad de la informacion mitos y tecnologias
Maurice Frayssinet
 
Trabajo Unificado De Seg Inform
Trabajo Unificado De Seg InformTrabajo Unificado De Seg Inform
Trabajo Unificado De Seg Inform
pachiuss
 
Cid
CidCid
Cid
Cristina Leiva Fajardo
 
Concienciacion en ciberseguridad y buenas prácticas
Concienciacion en ciberseguridad y buenas prácticas Concienciacion en ciberseguridad y buenas prácticas
Concienciacion en ciberseguridad y buenas prácticas
Javier Tallón
 
seguridad
seguridadseguridad
seguridad
mariavictoria0000
 
Seguridad informatica (clase 2)
Seguridad informatica (clase 2)Seguridad informatica (clase 2)
Seguridad informatica (clase 2)
Haruckar
 
Seguridad informatica 2
Seguridad informatica 2Seguridad informatica 2
Seguridad informatica 2
danny1712
 
Seguridad informatica 2
Seguridad informatica 2Seguridad informatica 2
Seguridad informatica 2
danny1712
 
Primer clase de introducción al lciberseguridad.pdf
Primer clase de introducción al lciberseguridad.pdfPrimer clase de introducción al lciberseguridad.pdf
Primer clase de introducción al lciberseguridad.pdf
ManuelaRominaEsquive
 
Presentación acerca de la seguridad informática dentro de un grupo
Presentación acerca de la seguridad informática dentro de un grupoPresentación acerca de la seguridad informática dentro de un grupo
Presentación acerca de la seguridad informática dentro de un grupo
Velegui Cruz Lopez
 
Seguridad informática
Seguridad informática Seguridad informática
Seguridad informática
Alexader
 
Seguridad
SeguridadSeguridad
Seguridad
Victor Medina Gomez
 
seguridad de la computacion
seguridad de la computacionseguridad de la computacion
seguridad de la computacion
gastlezcano
 
Normas de Seguridad de la Información
Normas de Seguridad de la InformaciónNormas de Seguridad de la Información
Normas de Seguridad de la Información
Jherdy Sotelo Marticorena
 
Seguridad imformatica
Seguridad imformaticaSeguridad imformatica
Seguridad imformatica
minguillomontalvo
 
Marco
Marco Marco
Marco
marco080030557
 
Tp info seguriad informática
Tp info seguriad informáticaTp info seguriad informática
Tp info seguriad informática
juliemaimitipepin
 
Marco
MarcoMarco
Marco
marco080030557
 
PROYECTO FINAL DE SEGURIDAD EN REDES
PROYECTO FINAL DE SEGURIDAD EN REDESPROYECTO FINAL DE SEGURIDAD EN REDES
PROYECTO FINAL DE SEGURIDAD EN REDES
Nelson Samaniego
 
Informe agregado
Informe agregadoInforme agregado
Informe agregado
JosueReyes97
 

Similar a I.1 conceptos_de_seguridad (20)

Seguridad de la informacion mitos y tecnologias
Seguridad de la informacion mitos y tecnologiasSeguridad de la informacion mitos y tecnologias
Seguridad de la informacion mitos y tecnologias
 
Trabajo Unificado De Seg Inform
Trabajo Unificado De Seg InformTrabajo Unificado De Seg Inform
Trabajo Unificado De Seg Inform
 
Cid
CidCid
Cid
 
Concienciacion en ciberseguridad y buenas prácticas
Concienciacion en ciberseguridad y buenas prácticas Concienciacion en ciberseguridad y buenas prácticas
Concienciacion en ciberseguridad y buenas prácticas
 
seguridad
seguridadseguridad
seguridad
 
Seguridad informatica (clase 2)
Seguridad informatica (clase 2)Seguridad informatica (clase 2)
Seguridad informatica (clase 2)
 
Seguridad informatica 2
Seguridad informatica 2Seguridad informatica 2
Seguridad informatica 2
 
Seguridad informatica 2
Seguridad informatica 2Seguridad informatica 2
Seguridad informatica 2
 
Primer clase de introducción al lciberseguridad.pdf
Primer clase de introducción al lciberseguridad.pdfPrimer clase de introducción al lciberseguridad.pdf
Primer clase de introducción al lciberseguridad.pdf
 
Presentación acerca de la seguridad informática dentro de un grupo
Presentación acerca de la seguridad informática dentro de un grupoPresentación acerca de la seguridad informática dentro de un grupo
Presentación acerca de la seguridad informática dentro de un grupo
 
Seguridad informática
Seguridad informática Seguridad informática
Seguridad informática
 
Seguridad
SeguridadSeguridad
Seguridad
 
seguridad de la computacion
seguridad de la computacionseguridad de la computacion
seguridad de la computacion
 
Normas de Seguridad de la Información
Normas de Seguridad de la InformaciónNormas de Seguridad de la Información
Normas de Seguridad de la Información
 
Seguridad imformatica
Seguridad imformaticaSeguridad imformatica
Seguridad imformatica
 
Marco
Marco Marco
Marco
 
Tp info seguriad informática
Tp info seguriad informáticaTp info seguriad informática
Tp info seguriad informática
 
Marco
MarcoMarco
Marco
 
PROYECTO FINAL DE SEGURIDAD EN REDES
PROYECTO FINAL DE SEGURIDAD EN REDESPROYECTO FINAL DE SEGURIDAD EN REDES
PROYECTO FINAL DE SEGURIDAD EN REDES
 
Informe agregado
Informe agregadoInforme agregado
Informe agregado
 

Más de Jesus Vilchez

Programación en OTcl
Programación en OTclProgramación en OTcl
Programación en OTcl
Jesus Vilchez
 
Herramientas de control y seguimiento
Herramientas de control y seguimientoHerramientas de control y seguimiento
Herramientas de control y seguimiento
Jesus Vilchez
 
Ataques en redes lan
Ataques en redes lanAtaques en redes lan
Ataques en redes lan
Jesus Vilchez
 
Ataques y vulnerabilidades
Ataques y vulnerabilidadesAtaques y vulnerabilidades
Ataques y vulnerabilidades
Jesus Vilchez
 
Analisis de riego segunda parte
Analisis de riego segunda parteAnalisis de riego segunda parte
Analisis de riego segunda parte
Jesus Vilchez
 
Analisis de riego primera parte
Analisis de riego primera parteAnalisis de riego primera parte
Analisis de riego primera parte
Jesus Vilchez
 
Unidad ii sesion 01 (politicas de seguridad)
Unidad ii sesion 01 (politicas de seguridad)Unidad ii sesion 01 (politicas de seguridad)
Unidad ii sesion 01 (politicas de seguridad)
Jesus Vilchez
 

Más de Jesus Vilchez (7)

Programación en OTcl
Programación en OTclProgramación en OTcl
Programación en OTcl
 
Herramientas de control y seguimiento
Herramientas de control y seguimientoHerramientas de control y seguimiento
Herramientas de control y seguimiento
 
Ataques en redes lan
Ataques en redes lanAtaques en redes lan
Ataques en redes lan
 
Ataques y vulnerabilidades
Ataques y vulnerabilidadesAtaques y vulnerabilidades
Ataques y vulnerabilidades
 
Analisis de riego segunda parte
Analisis de riego segunda parteAnalisis de riego segunda parte
Analisis de riego segunda parte
 
Analisis de riego primera parte
Analisis de riego primera parteAnalisis de riego primera parte
Analisis de riego primera parte
 
Unidad ii sesion 01 (politicas de seguridad)
Unidad ii sesion 01 (politicas de seguridad)Unidad ii sesion 01 (politicas de seguridad)
Unidad ii sesion 01 (politicas de seguridad)
 

I.1 conceptos_de_seguridad

  • 1. Datos del Profesor: Ing. Jesús Vílchez Sandoval CIP 129615 email:jvilchez@utp.edu.pe http://jesusvilchez.wordpress.com móvil: (51)99 407*1449 / (51)9 9368 0094 Coordinador de la Oficina de Calidad y Acreditación - FIEM
  • 2. Ing. Jesús Vílchez Sandoval Sistemas de SEGURIDAD EN REDES Basado en la presentación del Mg. Jean del Carpio
  • 3. Todos los sistemas son vulnerables lo importante es que se actualicen. Microsoft no es más vulnerable pero sí más apetitoso. Un ataque a un sistema que usan muchas personas tiene más relevancia. —Kevin Mitnick Contenido Situación Actual de la Seguridad Hackers – Paranoia o Realidad Pilares de Seguridad Estrategia de Seguridad Multicapa Estándares de Seguridad © Copyright Ing. Jesús Vílchez, 2012 Derechos Reservados
  • 4. Situación actual de seguridad «El ordenador nació para resolver problemas que antes no existían» -- Bill Gates
  • 5. CSI Computer Crime and Security Survey Tipos de Ataques Experimentados La situación actual de la seguridad ha variado notablemente desde que los gusanos y virus han afectado seriamente a las organizaciones
  • 6. CSI Computer Crime and Security Survey Acciones tomadas luego de un incidente La situación actual de la seguridad ha variado notablemente desde que los gusanos y virus han afectado seriamente a las organizaciones
  • 7. CSI Computer Crime and Security Survey Tipos de tecnologías de seguridad Las empresas vienen implementando diversos sistemas de seguridad cada vez mas efectivos y eficientes, para mejorar sus sistemas de seguridad.
  • 8. Policía Informática www.policiainformatica.gob.pe Pagina principal de la policía informática, en esta pagina se puede apreciar como la policía nacional del Perú también ha tomado en cuenta el crimen tecnológico. Aquí se pueden apreciar algunos casos que han sido resueltos y que se colocan como ejemplo para que los ciudadanos sepan que este tipo de crímenes también se realizan en nuestro país.
  • 9. Hackers Paranoia o Realidad «Las contraseñas son como la ropa interior. No puedes dejar que nadie la vea, debes cambiarla regularmente y no debes compartirla con extraños» -- Chris Pirillo
  • 10. Los Hackers mas Famosos Jhon Draper 1970 Steve Wozniak 1972 Richard Stallman 1985 Robert Tappan 1988 Usualmente la palabra "hacker" suele tener una connotación despectiva o negativa, pues se relaciona a acciones ilícitas. Por ello, actualmente existen otras denominaciones para mencionar a quienes utilizan sus conocimientos con fines maliciosos, tales como “piratas informáticos” o “hackers de Kevin Mitnick 1995 sombrero negro”.
  • 11. Hackers - mito o realidad Lo que se debe saber de los hackers • Se encuentran en todos lados. • No necesariamente son genios. • El Administrador de seguridad debe desconfiar de todos, incluso de sí mismo. • El sistema es tan seguro como la competencia de su administrador. Lo que ellos buscan • Pueden tener información valiosa. • Pueden ser utilizados para atacar a otros. • Pueden ser usados para almacenar información robada..
  • 12. MITOS DE SEGURIDAD » El sistema puede llegar al 100% de seguridad » Mi red no es lo suficiente mente atractiva para ser tomada en cuenta » Nadie pensará que mi clave de acceso es sencilla » Linux es más seguro que Windows » Si mi servidor de correos tiene antivirus, mi estación no lo necesita
  • 13. EL VALOR DE LA INFORMACION Lainformación es unactivo vital para el éxito y la continuidad en el mercado de cualquier organización Fuente: ISO 27000:2005.
  • 14. Pilares de Seguridad Confidencialidad, Disponibilidad e Integridad
  • 15. Pilares de Seguridad (ISO 17799) • Acceso a la información únicamente por parte de Confidencialidad quienes estén autorizados • Acceso a la información y a los sistemas, por parte Disponibilidad de los usuarios autorizados cuando lo requieran • Mantenimiento de la exactitud y completitud de la Integridad información y sus métodos de proceso
  • 16. Complementan los Pilares de Seguridad • Proceso de comprobación de las credenciales emitidas por el usuario o Autenticación servicio durante el proceso de autenticación • Confirmación de la identidad del usuario o No proceso que ha ejecutado una acción. repudiación Para los procesos de autenticación y no repudiación se hace uso de firmas digitales.
  • 17. Estrategia de seguridad multicapa «El ordenador nació para resolver problemas que antes no existían» -- Bill Gates
  • 18. Tenga acceso en cualquier lugar » La estrategia de seguridad más eficiente es establecer un sistema por capas, empezando por los primeros niveles de acceso hasta los datos mismos.
  • 19. Defensa de Perímetro Divida una presentación de gran tamaño organizándola en secciones. Seguridad Multicapa Es la puerta de acceso a la red de datos desde el Exterior
  • 20. Defensa de Red Es la red de datos interna de la organización. Compuesta de ruteadores, switches, AP y otros dispositivos. Seguridad Multicapa
  • 21. Defensa de Host Asociada a la defensa del Sistema operativo de la Estación, servidor (hardening). Seguridad Multicapa
  • 22. Defensa de Aplicaciones Divida una presentación de gran tamaño organizándola en secciones. Seguridad Multicapa
  • 23. Defensa de Datos y Recursos Es el último escalón de la “cadena de seguridad”. Seguridad Multicapa
  • 25. Estándares de Seguridad Los estándares de seguridad definen los requerimientos, procedimientos, instructivos, normas, planteamientos, etc. Existen varios estándares de seguridad:  ISO 7498-2  ISO 17799 (BS 7799)  TCSEC  ISO 15408
  • 26. ISO 7498-2 (Jul. 1988) Security Architectured Describe el modelo de referencia OSI, presenta en su parte 2 una Arquitectura de seguridad. Según esta arquitectura de seguridad para proteger las comunicaciones de los usuarios en las redes. Define cinco elementos básicos que constituyen la seguridad de un sistema:  La confidencialidad de los datos.  La autenticación de los datos.  La integridad de los datos  El control de acceso (disponibilidad).  El no repudio. Para implementar sistemas de seguridad define mecanismos de seguridad los cuales son específicos (specific) y amplios (wide).
  • 27. ISO 17799  ISO 27001 Bosqueja las amenazas de red y controles que se pueden implementar para disminuir la probabilidad de un ataque. Vulnerabilidad. Algo sobre lo cual el administrador es responsable. Amenaza. Algo sobre lo que se tiene poco control. Requiere que la organización controle 10 áreas específicas:  Políticas de seguridad.  Organización de seguridad.  Control y clasificación de bienes.  Seguridad del personal.  Seguridad ambiental y física.  Administración de redes y computadoras  Sistemas de control de acceso.  Control de desarrollo de sistemas.  Planificación de continuidad de negocios.  Auditoría y conformidad.
  • 28. ISO 17799  ISO 27001 Código prácticas de seguridad aceptado en todo el mundo. Define cuatro fases de implementación: Fase 1: VALORACION Determina la situación actual y define los requerimientos de seguridad Fase 2: DISEÑO Desarrollo de la solución con recomendaciones y un plan detallado de implementación Fase 3: DESPLIEGUE Evaluación del diseño. Define y documenta políticas, estándares, y procedimientos operacionales Fase 4: ADMINISTRACION Manejo de la solución implementada
  • 29. TCSEC Trusted Computer System Evaluation Criteria Criterios de evaluación de la seguridad de los sistemas de computación, conocidos también con el nombre de Orange Book (Libro naranja), definidos originalmente por el Ministerio de Defensa de los EE.UU. Los TCSEC definen siete conjuntos de criterios de evaluación denominados clases (D, C1, C2, B1, B2, B3 y A1). Cada clase de criterios cubre cuatro aspectos de la evaluación:  Política de seguridad  Imputabilidad  Aseguramiento  Documentación.
  • 30. TCSEC Trusted Computer System Evaluation Criteria Los criterios correspondientes a estas cuatro áreas van ganando en detalle de una clase a otra, constituyendo una jerarquía en la que D es el nivel más bajo y A1 él más elevado. Todas las clases incluyen requisitos tanto de funcionalidad como de confianza.
  • 31. TCSEC Trusted Computer System Evaluation Criteria Nivel de Descripción Seguridad D Sin seguridad. P.e. DOS C1 Protección de seguridad discrecional. El sistema no diferencia entre usuarios. C2 Seguridad de acceso discrecional. El sistema diferencia entre usuarios pero los trata de manera única. La protección de nivel de sistema existe para los recursos de datos, archivos, y procesos. Windows 2000, Linux. B1 Protección de seguridad etiquetada. Seguridad por niveles. Provee controles de acceso mandatario dónde ubica los los recursos en compartimientos, aislando usuarios en celdas y ofreciendo mayores protección. AT&T System V B2 Protección estructurada. Seguridad en hardware. Las áreas de memoria son segmentadas virtualmente y rígidamente protegidas. Trusted XENIX, Honeywell MULTICS. B3 Dominios de Seguridad. Ocultamiento de datos y establecimiento de capas: previene interacción entre las capas. Honeywell Federal System XTS- 200. A1 Diseño verificado. Pruebas matemáticas rigurosas que demuestran que el sistema no puede ser comprometido. Honeywell SCOMP.
  • 32. Common Criteria – ISO 15408 Allá por los años 90 surgió la necesidad de conocer qué requisitos de seguridad satisfacía un determinado software, hardware o firmware. Mediante la combinación de los criterios aplicados en Inglaterra, Estados Unidos y Canadá, se constituyó y adoptó por la International Organization for Standardization los Criterios Comunes de Evaluación de Seguridad para Tecnologías de la Información. El principal objetivo es poner de acuerdo a clientes, desarrolladores y testers sobre qué requisitos de seguridad cumple un determinado producto.
  • 33. Common Criteria – ISO 15408 Conceptos claves: Protection Profile (PP). Documento que define las necesidades de seguridad. Security Target (ST). Declaración de los fabricantes que describe la seguridad de productos y/o sistemas. Target of Evaluation (ToE). Producto o sistema a ser evaluado. Basado en PP y ST. Evaluation Assurance Levels (EAL). Niveles de evaluación de seguridad.
  • 34. ? Preguntas ¡Vea las diapositivas desde cualquier lugar!