SlideShare una empresa de Scribd logo

Tema 3. Arquitectura y diseño de seguridad

Francisco Medina
Francisco Medina

Este documento presenta una introducción a los temas de arquitectura y diseño de seguridad. Incluye una lista de temas como arquitectura de computadoras, mecanismos de protección, modelos formales de seguridad, guías de evaluación y certificación. Explica conceptos como arquitectura de seguridad, principios de arquitectura de seguridad, y diferentes tecnologías y mecanismos de protección como NAC, SDN, protección DDoS y firewalls de red. Finalmente, introduce brevemente los modelos formales de seg

Educación
1 de 63
Descargar para leer sin conexión
Seguridad Informática Tema 3. Arquitectura y diseño de seguridad Francisco Medina López – paco.medina@comunidad.unam.mx Facultad de Contadurı́a y Administración Universidad Nacional Autónoma de México 2022-1
Temario 1 Arquitectura de Computadoras 2 Mecanismos de protección 3 Modelos formales de seguridad 4 Guı́as de Evaluación 5 Certificación y Acreditación
Temario 1 Arquitectura de Computadoras 2 Mecanismos de protección 3 Modelos formales de seguridad 4 Guı́as de Evaluación 5 Certificación y Acreditación
Arquitectura El estándar TOGAF define a la arquitecture como: Definición La estructura de los componentes, sus interrelaciones y los principios y directrices que rigen su diseño y evolución en el tiempo. Dominios: 1 Arquitectura de negocio: define la estrategia empresarial, la gobernanza, la organización y los procesos empresariales clave. 2 Arquitectura de datos: describe la estructura de los activos de datos lógicos y fı́sicos de una organización y los recursos de gestión de datos. 3 Arquitectura de aplicación: proporciona las directrices para el desarrollo e implementación de las aplicaciones. 4 Arquitectura tecnológica: describe al software y hardware que se requiere para respaldar la implementación de servicios y aplicaciones; esto incluye infraestructura de TI, middleware, redes, comunicaciones, procesamiento, estándares, etc.
Arquitectura de seguridad Definición Diseño de alto nivel de un sistema desde una perspectiva de seguridad, es decir, cómo los controles de seguridad fueron seleccionados e implementados dentro del sistema. Considera: • Ciclo de vida de un sistema, desde su concepción hasta su retiro. • Cómo se organizan los usuarios, los datos y los servicios para garantizar que las interacciones potenciales de mayor riesgo estén protegidas por los mecanismos de seguridad simples y autónomos.
Pasos para el diseño de la arquitectura de seguridad 1 Revisar el uso propuesto del sitema. • Identificar las interacciones entre los usuarios, los datos y los servicios del sistema. • Gestionar el riesgo. • Identificar requisitos externos tales como el cumplimiento (compliance) y obligaciones contractuales. 2 Agrupar a los usuarios y los datos en categorı́as amplias utilizando los requisitos de acceso a los roles, junto con la clasificación formal de los datos y la autorización del usuario.
Principios de Arquitectura de Seguridad I 1 Economia del mecanismo. El diseño de los controles de seguridad debe ser lo más simple posible para garantizar una alta seguridad. 2 Fail-safe defaults. Los controles de seguridad deben permitir operar el sistema de acuerdo a la polı́tica de seguridad y rechazar cualquier otra operación. 3 Mediación completa. Todas las operaciones en todos los objetos de un sistema deben verificarse para asegurarse que cumplen con la polı́tica de seguridad. 4 Diseño abierto. La seguridad del control no debe depender del secreto de su funcionamiento, sino únicamente de contraseñas o secretos bien especificados.
Principios de Arquitectura de Seguridad II 5 Seperación de privilegio. Los controles de seguridad que dependen de varios sujetos para autorizar una operación, brindan mayor seguridad que aquellos que dependen de un solo sujeto. 6 Mı́nimo privilegio. Los sujetos y las operaciones que realizan en un sistema deben realizarse con el mı́nimo privilegio posible. 7 Least common mechanism. Es preferible minimizar el uso compartido de recursos y sistemas entre diferentes partes. 8 Psicológicamente aceptable. El control de seguridad debe ser utilizable de forma natural para que los usuarios los utilicen ”de forma rutinaria y automática”.
Modelo MAPE-K
Componentes tecnológicos de ciberseguridad
Temario 1 Arquitectura de Computadoras 2 Mecanismos de protección 3 Modelos formales de seguridad 4 Guı́as de Evaluación 5 Certificación y Acreditación
Mecanismos de protección Definición Cualquier tipo de elemento tecnológico que permita identificar, proteger, detectar, responder o minimizar el riesgo asociado con la ocurrencia de una amenaza especı́fica. Objetivo: • Reducir los efectos producidos por las amenazas de seguridad (threats) y vulnerabilidades (vulnerabilities) a un nivel tolerable para una organización.
Cyberscape Enlace
Soluciones de seguridad (2) Categorı́as: • Advanced Threat Protection, ICS + OT, NAC, SDN, DDoS Protection, DNS Security, Network Firewall, SASE, Deception, Network Analysis & Forensics.
Magic Quadrant for Endpoint Protection Platforms
ICS + OT Definición Sistema de control industrial (ICS) es un término general que abarca varios tipos de sistemas de control e instrumentos asociados utilizados para el control de procesos industriales. Definición La tecnologı́a operativa (OT) se refiere a los sistemas informáticos que se utilizan para gestionar las operaciones industriales, incluyen gestión de la lı́nea de producción, control de operaciones mineras, monitoreo de petróleo y gas, . . . [8]
Magic Quadrant for Industrial IoT Platforms
Control de aceso a la red (NAC) Definición Network Access Control (NAC) es una tecnologı́a que permite controlar de forma muy granular qué dispositivos pueden acceder a la red, permitiendo establecer polı́ticas de gestión de los dispositivos, tanto fijos como móviles, e integrar polı́ticas BYOD.
Fases implementación NAC
Redes definidas por software (SDN) Definición Las redes definidas por software (SDN) representan un enfoque en el que las redes utilizan controladores basados en software o interfaces de programación de aplicaciones (API) para dirigir el tráfico en la red y comunicarse con la infraestructura de hardware subyacente. [9] 1 Este enfoque es distinto al de las redes tradicionales, que utilizan dispositivos de hardware dedicados (enrutadores y conmutadores) para controlar el tráfico de la red. 2 Una SDN puede crear y controlar una red virtual o controlar una red de hardware tradicional mediante el software.
Arquitectura SDN
Protección contra DDoS Tecnologı́as para protección contra DDoS:[10] 1 Scrubbing centers 2 CDNs 3 CSPs y proveedores de hosting 4 IaaS
Scrubbing center Definición Cento de datos centralizado donde se analiza y elimina el tráfico malicioso (ddos, vulnerabilidades conocidas y exploits). Enlace . • Utilizados por grandes empresas, como ISP y proveedores de nube. • Cuando una organización está bajo ataque, el tráfico se redirige (normalmente mediante DNS o BGP) al centro de depuración, donde un sistema de mitigación de ataques elmina el tráfico malicioso y devuelve tráfico limpio a la red para su entrega.
Firewall de Red Definición Un firewall de red es un sistema o una combinación de sistemas que impone una barrera entre dos o más redes que por lo regular forman una división entre un ambiente seguro y una abierto, como Internet. Figura: El Firewall y los ambientes de seguridad Moraes, Alexandre M. S. P. Cisco Firewalls, Cisco Press, P 6.
Magic Quadrant for Network Firewalls
Secure Access Service Edge (SASE) Definición Un perı́metro de servicio de acceso seguro (SASE) es una arquitectura de red que combina capacidades de VPN y SD-WAN con funciones de seguridad nativas de la nube, como puertas de enlace web seguras, agentes de seguridad de acceso a la nube, firewall y acceso a la red de confianza cero. Enlace • Estas funciones se entregan desde la nube y el proveedor de SASE las proporciona como un servicio.
Arquitectura SASE
Magic Quadrant for WAN Edge Infrastructure
Engaño (Deception) Definición Tecnologı́as que permiten desplegar múltiples trampas y señuelos en una red, utilizando un camuflaje que aparenta equipos o recursos reales, con el fin de que los atacantes los rastreen, ataquen, e incluso los vulneren, pensando que están logrando comprometer a la organización. Los objetivos que se buscan son: 1 Obtener información valiosa acerca de las técnicas y artefactos que están utilizando los atacantes, ası́ como de sus posibles objetivos y métodos, proporcionando inteligencia accionable a los equipos de ciberseguridad para actuar de manera más oportuna y eficiente. 2 Retrasar, distraer o frustrar las actividades de los atacantes, sobre todas aquellas asociadas con el reconocimiento y los movimientos laterales.
¿Para que es usan las tecnologı́as del Engaño?
Hype Cycle for Network Security
Hype Cycle for Security Operations
Temario 1 Arquitectura de Computadoras 2 Mecanismos de protección 3 Modelos formales de seguridad 4 Guı́as de Evaluación 5 Certificación y Acreditación
Modelos formales de Seguridad “Los modelos de seguridad son un concepto importante en el análisis y diseño de sistemas de cómputo seguro” . • Provee un marco de refrencia dentro del cual puede ser implementada una polı́tica de seguridad. • Define los lineamientos necesarios para implementar y soportar la polı́tica de seguridad. • Provee los lineamientos y directivas que deben cumplir los desarrollos de hardware y software, motivo por el cual solemos referirnos a estos como la representación simbólica de una polı́tica de seguridad en un conjunto de reglas que pueden ser seguidas por una computadora.
Polı́tica vs Modelo de Seguridad Mientras que una polı́tica de seguridad es generalmente un conjunto de directivas o intenciones abstractas, un modelo de seguridad representa exactamente el modo en el cual la polı́tica deberı́a ser implementada. Las polı́ticas de seguridad proveen los objetivos abstractos y el modelo de seguridad provee las reglas necesarias para cumplir con dichos objetivos.
Implementación En la actualidad, los modelos formales de seguridad han quedado algo relegados respecto de la cambiante dinámica de negocios con la cual convivimos a diario. Siendo rigoristas, si bien los mismos aún permiten establecer parámetros generales, a nivel práctico solo pueden ser implementados parcialmente. Conceptos tales como: Firewall, Troyanos o Worms, no se encuentran contemplados en los denominados modelos formales
Bell-Lapadula Definición • Orientado a mantener la confidencialidad. • Reglas de Operación: • simple-rule (no read up) = espionaje • *-rule (no write down) = divulgación • strong-*-rule : si se posee la capacidad de read y write sólo se pueden realizar estas funciones en el mismo nivel.
Modo de Operación
Caracterı́sticas • El modelo define un estado seguro (secure state) • El acceso entre sujetos y objetos respeta una polı́tica de seguridad especı́fica. • TCSEC es una implantación de Bell-LaPadula • Solo aplica a la sensibilizad (nivel de confidencialidad/secreto) de la información. • Es el modelo mas representativo en ambientes militares.
Biba • El modelo Biba cubre niveles de integridad, los cuales son análogos a los niveles de sensitividad del modelo Bell-LaPadula. • Los niveles de integridad cubren la modificación impropia de datos. • Tal vez el modelo mas representativo respecto de ambientes comerciales. • Previene que usuarios no autorizados realicen modificaciones (1er objetivo de integridad) • Modelo Read Up, Write Down • Los sujetos no pueden leer objetos de integridad inferior, y no pueden escribir objetos de integridad superior.
Modo de Operación
Resumen Biba • Orientado a asegurar la Integridad • Reglas de Operación: • simple-rule: no read down = evitar las fuentes dudosas. • *-rule: no write up = no contaminar otros documentos.
Clark & Wilson • Al igual que Biba, este modelo se encuentra orientado a proteger la integridad de la información. • Cumple con los principales objetivos de un modelo de integridad: • Previene las modificaciones por parte de usuarios no autorizados. (T – Tamper). • Previene que usuarios autorizados realicen modificaciones impropias. • Mantiene la consistencia interna y externa. (C – Consistencia) • Refuerza el concepto de auditoria. • Todas las las modificaciones deben ser registradas (L - Logged)
Well Formed Transactions • Propone “Well Formed Transactions” • Una WFT no es mas que una serie de operaciones que permiten la transferencia de datos de un estado seguro a otro estado seguro. • Algunos de los principios relacionados con WFT son: • Ejecución de tareas en forma ordenada. • Ejecución exacta de las tareas definidas. • Autenticación de los individuos que ejecutan las tareas. • El modelo Clark & Wilson, incorpora la separación de tareas (separation of duties) dentro de la arquitectura de una aplicación. Es decir, provee las reglas que los desarrolladores deben seguir a efectos de reforzar este principio a través de procedimientos de software.
Modo de Operación
Resumen Biba • Orientado a asegurar la Integridad • Conceptos Clave: • Access Triple = Subject -> Application (SW)-> Object • Auditing = Aplicación logueando accesos • Separation of Duties = Separación de tareas.
Modelo de máquina de estados Definición Modelo matemático abstracto que se compone de variables de estado y funciones de transición entre estados. • La mayorı́a de los modelos formales de seguridad, incluyendo Bell-LaPadula y Biba, se consideran derivados de este modelo.
Modelo de flujo de información Definición Simplifica el análisis de covert channels. Cuando Information Flow Model es utilizado, un sistema es seguro si todo flujo de información ilegal no es permitido. • Bell-LaPadula es un modelo de IF que asegura que la información no pueda fluir de un compartimiento a otro en forma que afecte la confidencialidad. Biba define compartimientos de datos basado en niveles de integridad, implementando de este modo, un modelo de IF que proteja la integridad de la información mas confiable.
Modelo de no-interferencia Definición Cubre aquellos casos en los que se necesita prevenir que sujetos que operan en un determinado dominio puedan afectarse entre sı́ violando la polı́tica de seguridad (Actividades realizadas sobre un nivel de seguridad no deberı́an afectar o ser vistas, por sujetos u objetos en un nivel de seguridad diferente). • De utilización tı́pica en sistemas multi-nivel. • Su principal propósito no es otro que el de combatir ataques de inferencia y de covert channels.
Modelo de Matriz de Accesos(Access Matrix Model) Definición Es un modelo de máquina de estados aplicado a un ambiente DAC (Discretionary Access Control). Decisiones de acceso, son basadas en ACLs de objetos y tablas de capacidades del sujeto.
Temario 1 Arquitectura de Computadoras 2 Mecanismos de protección 3 Modelos formales de seguridad 4 Guı́as de Evaluación 5 Certificación y Acreditación
Guı́as de Evaluación I • El proceso de determinar cuan seguro es un sistema puede ser una tarea difı́cil. • Las organizaciones necesitan métodos para evaluar el grado de seguridad otorgado por tal o cual sistema, y de este modo determinar si el mismo resuelve los requisitos impuestos por la polı́tica de seguridad implementada. • Una guı́a de evaluación, deberı́a ser lo suficientemente general en sus principios, de modo tal que la misma sirva a los efectos de comparar diferentes tipos de sistemas y otorgar a los mismos una clasificación de acuerdo al nivel de seguridad que presentan.
Guı́as de Evaluación II • Inicialmente, el concepto detrás de la confección de una Guı́a de Evaluación, se encuentra ı́ntimamente relacionado con la necesidad por parte de las agencias de seguridad, el gobierno, y las organizaciones privadas, de conocer el nivel o grado de seguridad, existente en los diferentes sistemas, aplicaciones o productos al momento de efectuar una compra o contratación.
Trusted Computer Systems Evaluation Criteria I • En 1985 el “National Computer Security Center” (NCSC), desarrolla para el “Departamento de Defensa de los EEUU” (DoD), un conjunto de estándares, los cuales resultan en la creación de TCSEC (Trusted Computer System Evaluation Criteria). • El principal objetivo detrás de la creación de TCSEC es el de proveer al gobierno y entidades relacionadas, con un guı́a que les permitiera evaluar los productos ofrecidos por los diferentes proveedores, para cada uno de los criterios de seguridad especificados. • TCSEC == “Orange Book” • TCSEC provee: • Una base para establecer requisitos de seguridad en las especificaciones de adquisición.
Trusted Computer Systems Evaluation Criteria II • Un estándar de los servicios de seguridad que deben ser proporcionados por los vendedores para los diferentes criterios de seguridad existentes. • Una forma de medir la seguridad de un sistema de información. • TCSEC direcciona confidencialidad. No integridad. La funcionalidad de los mecanismos de seguridad y el Assurance de los mismos, NO son evaluados en forma separada.
Niveles TCSEC • D - Minimal protection • C - Discretionary Protection • C1 – Usuarios cooperativos que pueden proteger su propia información • C2 – DAC más granular, se puede auditar al usuario/ proceso individualmente (individual accountability) • B - Mandatory Protection (Bell-LaPadula, RM, Security Labels Requeridas) • B1 Labeled Security Protection (Process Isolation!) • B2 Structured Protection (Covert Channels!) • B3 Security Domains • A - Verified Protection (Direcciona seguridad a nivel Top Secret) • A1 Verified Design
Information Technology Security Evaluation Criteria • Desarrollado en Europa como estándar único de evaluación de la seguridad en sistemas. • Evalúa Funcionalidad y Seguridad (Assurance) en forma separada. • Effectiveness = Hacen lo que se espera que haga. • Correctiveness = Que tan correcto es el proceso por el cual lo hacen. • Clasificaciones por: • F1-F10 Niveles de Funcionalidad. • E0-E6 Niveles de Assurance. • ITSEC direcciona Integridad, Disponibilidad y Confidencialidad. • ITSEC se ocupa de evaluar sistemas en red mietras que TCSEC solo hace lo propio con sistemas stand-alone.
Common Criteria (CC) • Creado por el ISO en 1993. • Creado a partir de TCSEC, ITSEC, Canadian Trusted. Computer Product Evaluation Criteria (CTCPEC) y el Federal Criteria. • Provee mas flexibilidad que TCSEC e ITSEC.
Componentes del Common Criteria (CC) • Protection Profile (PP) • Descripción de las necesidades de seguridad de un producto. • Target of Evaluation (TOE) • Producto que se propone evaluar. • Security Target (ST) • Descripción escrita por el proveedor explicando las funcionalidades de seguridad (que hace?) y mecanismos de assurance que cumplen los requerimientos de seguridad (como lo hace?). • Packages – Evaluation Assurance Levels (EAL) • Los requerimientos Funcionales (definen el comportamiento del producto relacionado con la seguridad) y de Assurance (establece el nivel de confianza en el producto) son reunidos en paquetes para ser reutilizados. • Describen los requisitos a cumplir para alcanzar cada nivel EAL especı́fico.
Package Ratings – Evaluations Ratings 1 Basic Assurance • EAL 1 Functionally tested • EAL 2 Structurally tested • EAL 3 Methodically tested and checked • EAL 4 Methodically designed, tested and reviewed 2 Medium Assurance • EAL 5 Semiformally designed and tested 3 High Assurance • EAL 6 Semiformally verified design and tested • EAL 7 Formally verified design and tested
Temario 1 Arquitectura de Computadoras 2 Mecanismos de protección 3 Modelos formales de seguridad 4 Guı́as de Evaluación 5 Certificación y Acreditación
Certificacón y Acreditación Certificación Evaluación técnica mediante la cual se revisan los mecanismos y controles de seguridad, con el objeto de evaluar su efectividad. • La certificación considera al sistema dentro del ambiente operativo. Acreditación Aceptación oficial de los resultados de una certificación. • La acreditación refiere a la decisión oficial de la gerencia relacionada con la operación del sistema en el ambiente especificado.
Referencias bibliográficas Improving Web Application Security: Threats and Countermeasures, Mark Curphey. ISO/IEC 27000:2012. Introducción al modelado de amenazas [web page]. Microsoft, Inc. [Visitada en: 27 de septiembre de 2021]. Uso de un marco para identificar amenazas y buscar formas de reducir o eliminar el riesgo [web page]. Microsoft, Inc. [Visitada en: 27 de septiembre de 2021]. STRIDE (seguridad) [web page]. Wikipedia. [Visitada en: 27 de septiembre de 2021]. ¿Qué es una amenaza avanzada persistente (APT)? [web page]. Kaspersky. [Visitada en: 27 de septiembre de 2021]. Chinese Army Unit Is Seen as Tied to Hacking Againist U.S., 2013 [web page]. The New Your Times. [Visitada en: 27 de

Recomendados

Modulo I: Arquitectura de Seguridad Informática
Modulo I: Arquitectura de Seguridad InformáticaModulo I: Arquitectura de Seguridad Informática
Modulo I: Arquitectura de Seguridad Informática
Juan Manuel García
 
Seguridad física y lógica
Seguridad física y lógicaSeguridad física y lógica
Seguridad física y lógicaEve_And
 
Criptografia y Metodos de cifrado
Criptografia y Metodos de cifradoCriptografia y Metodos de cifrado
Criptografia y Metodos de cifrado
kyaalena
 
Iso 27005-espanol
Iso 27005-espanolIso 27005-espanol
Iso 27005-espanol
Daniel Arevalo
 
Introduccion iso 17799
Introduccion iso 17799Introduccion iso 17799
Introduccion iso 17799Isaias Rubina Miranda
 
Gobierno de TI
Gobierno de TIGobierno de TI
Gobierno de TI
Doris Suquilanda
 
Auditoría de redes
Auditoría de redesAuditoría de redes
Auditoría de redesCarloz Kaztro
 
Seguridad en Base de Datos
Seguridad en Base de DatosSeguridad en Base de Datos
Seguridad en Base de Datos
myriam sarango
 

Recomendados

Modulo I: Arquitectura de Seguridad Informática
Modulo I: Arquitectura de Seguridad InformáticaModulo I: Arquitectura de Seguridad Informática
Modulo I: Arquitectura de Seguridad Informática
Juan Manuel García
 
Seguridad física y lógica
Seguridad física y lógicaSeguridad física y lógica
Seguridad física y lógicaEve_And
 
Criptografia y Metodos de cifrado
Criptografia y Metodos de cifradoCriptografia y Metodos de cifrado
Criptografia y Metodos de cifrado
kyaalena
 
Iso 27005-espanol
Iso 27005-espanolIso 27005-espanol
Iso 27005-espanol
Daniel Arevalo
 
Introduccion iso 17799
Introduccion iso 17799Introduccion iso 17799
Introduccion iso 17799Isaias Rubina Miranda
 
Gobierno de TI
Gobierno de TIGobierno de TI
Gobierno de TI
Doris Suquilanda
 
Auditoría de redes
Auditoría de redesAuditoría de redes
Auditoría de redesCarloz Kaztro
 
Seguridad en Base de Datos
Seguridad en Base de DatosSeguridad en Base de Datos
Seguridad en Base de Datos
myriam sarango
 
Mapa conceptual de la Seguridad de la información
Mapa conceptual de la Seguridad de la informaciónMapa conceptual de la Seguridad de la información
Mapa conceptual de la Seguridad de la información
Yessika Hernández
 
Seguridad de la Informacion
Seguridad de la InformacionSeguridad de la Informacion
Seguridad de la Informacion
Angel Ricardo Marchan Collazos
 
Seguridad en los Sistemas Distribuidos
Seguridad en los Sistemas DistribuidosSeguridad en los Sistemas Distribuidos
Seguridad en los Sistemas Distribuidos
Tensor
 
Politicas de Seguridad Informática
Politicas de Seguridad InformáticaPoliticas de Seguridad Informática
Politicas de Seguridad Informática
Jose Manuel Acosta
 
Arquitecturas ti
Arquitecturas tiArquitecturas ti
Arquitecturas ti
Francisco Marcos Rodriguez Rivera
 
Auditoria de seguridad informatica
Auditoria de seguridad informaticaAuditoria de seguridad informatica
Auditoria de seguridad informatica
Adan Ernesto Guerrero Mocadan
 
Norma iso 17799
Norma iso 17799Norma iso 17799
Norma iso 17799Freddy Fernando Cajamarca Sarmiento
 
Mapa conceptual sobre Seguridad de la Información
Mapa conceptual sobre Seguridad de la InformaciónMapa conceptual sobre Seguridad de la Información
Mapa conceptual sobre Seguridad de la Información
jmarquez23
 
Seguridad De la Informacion
Seguridad De la InformacionSeguridad De la Informacion
Seguridad De la Informacion
Jessicakatherine
 
Gestion de Seguridad informatica
Gestion de Seguridad informaticaGestion de Seguridad informatica
Gestion de Seguridad informatica
Carlos Cardenas Fernandez
 
DEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS ÉTICOS
DEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS ÉTICOSDEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS ÉTICOS
DEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS ÉTICOSMaria Consuelo Taris Naranjo
 
Proyectos de seguridad informática
Proyectos de seguridad informáticaProyectos de seguridad informática
Proyectos de seguridad informática
Raúl Díaz
 
Riesgo de ti
Riesgo de tiRiesgo de ti
Riesgo de tiLeo Gomez
 
Controles de seguridad
Controles de seguridadControles de seguridad
Controles de seguridadVeidaDamara
 
Metodología de auditoría informática
Metodología de auditoría informáticaMetodología de auditoría informática
Metodología de auditoría informática
Acosta Escalante Jesus Jose
 
Hacking ético
Hacking éticoHacking ético
Hacking ético
Paulo Colomés
 
Algoritmo aes
Algoritmo aesAlgoritmo aes
Algoritmo aes
James LexLer
 
Protocolos de seguridad informática
Protocolos de seguridad informáticaProtocolos de seguridad informática
Protocolos de seguridad informática
Fernando Gallardo Gutierrez
 
Ataques cibernéticos: ¿Qué es el eavesdropping y cómo se previene?
Ataques cibernéticos: ¿Qué es el eavesdropping y cómo se previene?Ataques cibernéticos: ¿Qué es el eavesdropping y cómo se previene?
Ataques cibernéticos: ¿Qué es el eavesdropping y cómo se previene?
Supra Networks
 
La política informática en méxico
La política informática en méxicoLa política informática en méxico
La política informática en méxicoBICHO9090
 
Presetacion redes ip
Presetacion redes ipPresetacion redes ip
Presetacion redes ipJose Alberto Medina Vega
 
Fundamentos Seguridad OT - Mod 1-2 (1).pdf
Fundamentos Seguridad OT - Mod 1-2 (1).pdfFundamentos Seguridad OT - Mod 1-2 (1).pdf
Fundamentos Seguridad OT - Mod 1-2 (1).pdf
AlonsoCid
 

Más contenido relacionado

La actualidad más candente

Mapa conceptual de la Seguridad de la información
Mapa conceptual de la Seguridad de la informaciónMapa conceptual de la Seguridad de la información
Mapa conceptual de la Seguridad de la información
Yessika Hernández
 
Seguridad de la Informacion
Seguridad de la InformacionSeguridad de la Informacion
Seguridad de la Informacion
Angel Ricardo Marchan Collazos
 
Seguridad en los Sistemas Distribuidos
Seguridad en los Sistemas DistribuidosSeguridad en los Sistemas Distribuidos
Seguridad en los Sistemas Distribuidos
Tensor
 
Politicas de Seguridad Informática
Politicas de Seguridad InformáticaPoliticas de Seguridad Informática
Politicas de Seguridad Informática
Jose Manuel Acosta
 
Arquitecturas ti
Arquitecturas tiArquitecturas ti
Arquitecturas ti
Francisco Marcos Rodriguez Rivera
 
Auditoria de seguridad informatica
Auditoria de seguridad informaticaAuditoria de seguridad informatica
Auditoria de seguridad informatica
Adan Ernesto Guerrero Mocadan
 
Mapa conceptual sobre Seguridad de la Información
Mapa conceptual sobre Seguridad de la InformaciónMapa conceptual sobre Seguridad de la Información
Mapa conceptual sobre Seguridad de la Información
jmarquez23
 
Seguridad De la Informacion
Seguridad De la InformacionSeguridad De la Informacion
Seguridad De la Informacion
Jessicakatherine
 
Gestion de Seguridad informatica
Gestion de Seguridad informaticaGestion de Seguridad informatica
Gestion de Seguridad informatica
Carlos Cardenas Fernandez
 
DEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS ÉTICOS
DEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS ÉTICOSDEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS ÉTICOS
DEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS ÉTICOSMaria Consuelo Taris Naranjo
 
Proyectos de seguridad informática
Proyectos de seguridad informáticaProyectos de seguridad informática
Proyectos de seguridad informática
Raúl Díaz
 
Riesgo de ti
Riesgo de tiRiesgo de ti
Riesgo de tiLeo Gomez
 
Controles de seguridad
Controles de seguridadControles de seguridad
Controles de seguridadVeidaDamara
 
Metodología de auditoría informática
Metodología de auditoría informáticaMetodología de auditoría informática
Metodología de auditoría informática
Acosta Escalante Jesus Jose
 
Hacking ético
Hacking éticoHacking ético
Hacking ético
Paulo Colomés
 
Algoritmo aes
Algoritmo aesAlgoritmo aes
Algoritmo aes
James LexLer
 
Protocolos de seguridad informática
Protocolos de seguridad informáticaProtocolos de seguridad informática
Protocolos de seguridad informática
Fernando Gallardo Gutierrez
 
Ataques cibernéticos: ¿Qué es el eavesdropping y cómo se previene?
Ataques cibernéticos: ¿Qué es el eavesdropping y cómo se previene?Ataques cibernéticos: ¿Qué es el eavesdropping y cómo se previene?
Ataques cibernéticos: ¿Qué es el eavesdropping y cómo se previene?
Supra Networks
 
La política informática en méxico
La política informática en méxicoLa política informática en méxico
La política informática en méxicoBICHO9090
 

La actualidad más candente (20)

Mapa conceptual de la Seguridad de la información
Mapa conceptual de la Seguridad de la informaciónMapa conceptual de la Seguridad de la información
Mapa conceptual de la Seguridad de la información
 
Seguridad de la Informacion
Seguridad de la InformacionSeguridad de la Informacion
Seguridad de la Informacion
 
Seguridad en los Sistemas Distribuidos
Seguridad en los Sistemas DistribuidosSeguridad en los Sistemas Distribuidos
Seguridad en los Sistemas Distribuidos
 
Politicas de Seguridad Informática
Politicas de Seguridad InformáticaPoliticas de Seguridad Informática
Politicas de Seguridad Informática
 
Arquitecturas ti
Arquitecturas tiArquitecturas ti
Arquitecturas ti
 
Auditoria de seguridad informatica
Auditoria de seguridad informaticaAuditoria de seguridad informatica
Auditoria de seguridad informatica
 
Norma iso 17799
Norma iso 17799Norma iso 17799
Norma iso 17799
 
Mapa conceptual sobre Seguridad de la Información
Mapa conceptual sobre Seguridad de la InformaciónMapa conceptual sobre Seguridad de la Información
Mapa conceptual sobre Seguridad de la Información
 
Seguridad De la Informacion
Seguridad De la InformacionSeguridad De la Informacion
Seguridad De la Informacion
 
Gestion de Seguridad informatica
Gestion de Seguridad informaticaGestion de Seguridad informatica
Gestion de Seguridad informatica
 
DEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS ÉTICOS
DEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS ÉTICOSDEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS ÉTICOS
DEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS ÉTICOS
 
Proyectos de seguridad informática
Proyectos de seguridad informáticaProyectos de seguridad informática
Proyectos de seguridad informática
 
Riesgo de ti
Riesgo de tiRiesgo de ti
Riesgo de ti
 
Controles de seguridad
Controles de seguridadControles de seguridad
Controles de seguridad
 
Metodología de auditoría informática
Metodología de auditoría informáticaMetodología de auditoría informática
Metodología de auditoría informática
 
Hacking ético
Hacking éticoHacking ético
Hacking ético
 
Algoritmo aes
Algoritmo aesAlgoritmo aes
Algoritmo aes
 
Protocolos de seguridad informática
Protocolos de seguridad informáticaProtocolos de seguridad informática
Protocolos de seguridad informática
 
Ataques cibernéticos: ¿Qué es el eavesdropping y cómo se previene?
Ataques cibernéticos: ¿Qué es el eavesdropping y cómo se previene?Ataques cibernéticos: ¿Qué es el eavesdropping y cómo se previene?
Ataques cibernéticos: ¿Qué es el eavesdropping y cómo se previene?
 
La política informática en méxico
La política informática en méxicoLa política informática en méxico
La política informática en méxico
 

Similar a Tema 3. Arquitectura y diseño de seguridad

Fundamentos Seguridad OT - Mod 1-2 (1).pdf
Fundamentos Seguridad OT - Mod 1-2 (1).pdfFundamentos Seguridad OT - Mod 1-2 (1).pdf
Fundamentos Seguridad OT - Mod 1-2 (1).pdf
AlonsoCid
 
Seguridad en la red
Seguridad en la redSeguridad en la red
Seguridad en la red
perita p
 
Mecanismos de Seguridad - Seguridad en Redes
Mecanismos de Seguridad - Seguridad en RedesMecanismos de Seguridad - Seguridad en Redes
Mecanismos de Seguridad - Seguridad en Redes
Leyda Cordoba Araujo
 
Seguridad en sitios web
Seguridad en sitios webSeguridad en sitios web
Seguridad en sitios webUTPL
 
CRITERIOS DE SEGURIDAD EN UNA EMPRESA DE SERVICIOS DE VENTAS REGIONALES DE ED...
CRITERIOS DE SEGURIDAD EN UNA EMPRESA DE SERVICIOS DE VENTAS REGIONALES DE ED...CRITERIOS DE SEGURIDAD EN UNA EMPRESA DE SERVICIOS DE VENTAS REGIONALES DE ED...
CRITERIOS DE SEGURIDAD EN UNA EMPRESA DE SERVICIOS DE VENTAS REGIONALES DE ED...
David Eliseo Martinez Castellanos
 
SSEGURIDAD DE LA INFORMACION
SSEGURIDAD DE LA INFORMACIONSSEGURIDAD DE LA INFORMACION
SSEGURIDAD DE LA INFORMACION
Jessicakatherine
 
Seguridad en gestion_de_redes
Seguridad en gestion_de_redesSeguridad en gestion_de_redes
Seguridad en gestion_de_redeshmitre17
 
La (in)seguridad de los sistemas de control de procesos [ES]
La (in)seguridad de los sistemas de control de procesos [ES]La (in)seguridad de los sistemas de control de procesos [ES]
La (in)seguridad de los sistemas de control de procesos [ES]
Sistel CONTROL
 
La guerra cibernética y cómo puede afectar a las operaciones industriales en ...
La guerra cibernética y cómo puede afectar a las operaciones industriales en ...La guerra cibernética y cómo puede afectar a las operaciones industriales en ...
La guerra cibernética y cómo puede afectar a las operaciones industriales en ...
TGS
 
Newtech brochure
Newtech brochureNewtech brochure
Newtech brochure
Juan Francisco Rivas Figueroa
 
Glosario
GlosarioGlosario
Glosario
Alexander Alfaro
 
La (in)seguridad de los sistemas de control de procesos publicado en 2013
La (in)seguridad de los sistemas de control de procesos publicado en 2013 La (in)seguridad de los sistemas de control de procesos publicado en 2013
La (in)seguridad de los sistemas de control de procesos publicado en 2013
Diego Martín Arcos
 
LECCION 8..pptx
LECCION 8..pptxLECCION 8..pptx
LECCION 8..pptx
NanoNano70
 
Políticas de seguridad informática
Políticas de seguridad informáticaPolíticas de seguridad informática
Políticas de seguridad informáticadeisyudith
 
CUESTIONES 19
CUESTIONES 19CUESTIONES 19
CUESTIONES 19majitoer
 

Similar a Tema 3. Arquitectura y diseño de seguridad (20)

Presetacion redes ip
Presetacion redes ipPresetacion redes ip
Presetacion redes ip
 
Fundamentos Seguridad OT - Mod 1-2 (1).pdf
Fundamentos Seguridad OT - Mod 1-2 (1).pdfFundamentos Seguridad OT - Mod 1-2 (1).pdf
Fundamentos Seguridad OT - Mod 1-2 (1).pdf
 
Seguridad en la red
Seguridad en la redSeguridad en la red
Seguridad en la red
 
Actividad so
Actividad soActividad so
Actividad so
 
Mecanismos de Seguridad - Seguridad en Redes
Mecanismos de Seguridad - Seguridad en RedesMecanismos de Seguridad - Seguridad en Redes
Mecanismos de Seguridad - Seguridad en Redes
 
Seguridad en sitios web
Seguridad en sitios webSeguridad en sitios web
Seguridad en sitios web
 
Sgsi
SgsiSgsi
Sgsi
 
Sgsi
SgsiSgsi
Sgsi
 
CRITERIOS DE SEGURIDAD EN UNA EMPRESA DE SERVICIOS DE VENTAS REGIONALES DE ED...
CRITERIOS DE SEGURIDAD EN UNA EMPRESA DE SERVICIOS DE VENTAS REGIONALES DE ED...CRITERIOS DE SEGURIDAD EN UNA EMPRESA DE SERVICIOS DE VENTAS REGIONALES DE ED...
CRITERIOS DE SEGURIDAD EN UNA EMPRESA DE SERVICIOS DE VENTAS REGIONALES DE ED...
 
SSEGURIDAD DE LA INFORMACION
SSEGURIDAD DE LA INFORMACIONSSEGURIDAD DE LA INFORMACION
SSEGURIDAD DE LA INFORMACION
 
Seguridad en gestion_de_redes
Seguridad en gestion_de_redesSeguridad en gestion_de_redes
Seguridad en gestion_de_redes
 
La (in)seguridad de los sistemas de control de procesos [ES]
La (in)seguridad de los sistemas de control de procesos [ES]La (in)seguridad de los sistemas de control de procesos [ES]
La (in)seguridad de los sistemas de control de procesos [ES]
 
La guerra cibernética y cómo puede afectar a las operaciones industriales en ...
La guerra cibernética y cómo puede afectar a las operaciones industriales en ...La guerra cibernética y cómo puede afectar a las operaciones industriales en ...
La guerra cibernética y cómo puede afectar a las operaciones industriales en ...
 
Newtech brochure
Newtech brochureNewtech brochure
Newtech brochure
 
Glosario
GlosarioGlosario
Glosario
 
La (in)seguridad de los sistemas de control de procesos publicado en 2013
La (in)seguridad de los sistemas de control de procesos publicado en 2013 La (in)seguridad de los sistemas de control de procesos publicado en 2013
La (in)seguridad de los sistemas de control de procesos publicado en 2013
 
LECCION 8..pptx
LECCION 8..pptxLECCION 8..pptx
LECCION 8..pptx
 
Políticas de seguridad informática
Políticas de seguridad informáticaPolíticas de seguridad informática
Políticas de seguridad informática
 
Uvi tema10-equipo cam-sgepci
Uvi tema10-equipo cam-sgepciUvi tema10-equipo cam-sgepci
Uvi tema10-equipo cam-sgepci
 
CUESTIONES 19
CUESTIONES 19CUESTIONES 19
CUESTIONES 19
 

Más de Francisco Medina

Tema 1. Introducción a la Seguridad Informática
Tema 1. Introducción a la Seguridad InformáticaTema 1. Introducción a la Seguridad Informática
Tema 1. Introducción a la Seguridad Informática
Francisco Medina
 
2021 1 T4-Criptografía
2021 1 T4-Criptografía2021 1 T4-Criptografía
2021 1 T4-Criptografía
Francisco Medina
 
Tema 3. Arquitectura y diseño de seguridad
Tema 3. Arquitectura y diseño de seguridadTema 3. Arquitectura y diseño de seguridad
Tema 3. Arquitectura y diseño de seguridad
Francisco Medina
 
Tema 2: Análisis de Riesgos
Tema 2: Análisis de RiesgosTema 2: Análisis de Riesgos
Tema 2: Análisis de Riesgos
Francisco Medina
 
Por qué es importante cuidar mi privacidad en Internet
Por qué es importante cuidar mi privacidad en InternetPor qué es importante cuidar mi privacidad en Internet
Por qué es importante cuidar mi privacidad en Internet
Francisco Medina
 
Tema 1. Introducción a la Seguridad Informática
Tema 1. Introducción a la Seguridad InformáticaTema 1. Introducción a la Seguridad Informática
Tema 1. Introducción a la Seguridad Informática
Francisco Medina
 
Conociendo la Dark Web
Conociendo la Dark WebConociendo la Dark Web
Conociendo la Dark Web
Francisco Medina
 
2021-1 Presentación de la materia Seguridad Informática
2021-1 Presentación de la materia Seguridad Informática2021-1 Presentación de la materia Seguridad Informática
2021-1 Presentación de la materia Seguridad Informática
Francisco Medina
 
Tema 1. Active Directory
Tema 1. Active DirectoryTema 1. Active Directory
Tema 1. Active Directory
Francisco Medina
 
Administración de Servidores WINDOWS T1
Administración de Servidores WINDOWS T1Administración de Servidores WINDOWS T1
Administración de Servidores WINDOWS T1
Francisco Medina
 
Caso de estudio No.1: Heartbleed y Shellshock
Caso de estudio No.1: Heartbleed y ShellshockCaso de estudio No.1: Heartbleed y Shellshock
Caso de estudio No.1: Heartbleed y Shellshock
Francisco Medina
 
Tema 3. Seguridad en las Comunicaciones
Tema 3. Seguridad en las ComunicacionesTema 3. Seguridad en las Comunicaciones
Tema 3. Seguridad en las Comunicaciones
Francisco Medina
 
2017-2 Tema 2. Identidad
2017-2 Tema 2. Identidad2017-2 Tema 2. Identidad
2017-2 Tema 2. Identidad
Francisco Medina
 
Presentación de la materia Seguridad Informática 2017-2
Presentación de la materia Seguridad Informática 2017-2Presentación de la materia Seguridad Informática 2017-2
Presentación de la materia Seguridad Informática 2017-2
Francisco Medina
 
Tema 1. Seguridad Física
Tema 1. Seguridad FísicaTema 1. Seguridad Física
Tema 1. Seguridad Física
Francisco Medina
 
Presentación de la materia Seguridad en redes 2017-2
Presentación de la materia Seguridad en redes 2017-2Presentación de la materia Seguridad en redes 2017-2
Presentación de la materia Seguridad en redes 2017-2
Francisco Medina
 
Presentación del Módulo 6. Seguridad en Base de Datos
Presentación del Módulo 6. Seguridad en Base de DatosPresentación del Módulo 6. Seguridad en Base de Datos
Presentación del Módulo 6. Seguridad en Base de Datos
Francisco Medina
 
Módulo 3. Tema 1. Cableado Estructurado
Módulo 3. Tema 1. Cableado EstructuradoMódulo 3. Tema 1. Cableado Estructurado
Módulo 3. Tema 1. Cableado Estructurado
Francisco Medina
 
Presentación Módulo 3. Tecnología de conectividad en redes.
Presentación Módulo 3. Tecnología de conectividad en redes.Presentación Módulo 3. Tecnología de conectividad en redes.
Presentación Módulo 3. Tecnología de conectividad en redes.
Francisco Medina
 
Tema 1, Introducción a la Informática Forense
Tema 1, Introducción a la Informática ForenseTema 1, Introducción a la Informática Forense
Tema 1, Introducción a la Informática Forense
Francisco Medina
 

Más de Francisco Medina (20)

Tema 1. Introducción a la Seguridad Informática
Tema 1. Introducción a la Seguridad InformáticaTema 1. Introducción a la Seguridad Informática
Tema 1. Introducción a la Seguridad Informática
 
2021 1 T4-Criptografía
2021 1 T4-Criptografía2021 1 T4-Criptografía
2021 1 T4-Criptografía
 
Tema 3. Arquitectura y diseño de seguridad
Tema 3. Arquitectura y diseño de seguridadTema 3. Arquitectura y diseño de seguridad
Tema 3. Arquitectura y diseño de seguridad
 
Tema 2: Análisis de Riesgos
Tema 2: Análisis de RiesgosTema 2: Análisis de Riesgos
Tema 2: Análisis de Riesgos
 
Por qué es importante cuidar mi privacidad en Internet
Por qué es importante cuidar mi privacidad en InternetPor qué es importante cuidar mi privacidad en Internet
Por qué es importante cuidar mi privacidad en Internet
 
Tema 1. Introducción a la Seguridad Informática
Tema 1. Introducción a la Seguridad InformáticaTema 1. Introducción a la Seguridad Informática
Tema 1. Introducción a la Seguridad Informática
 
Conociendo la Dark Web
Conociendo la Dark WebConociendo la Dark Web
Conociendo la Dark Web
 
2021-1 Presentación de la materia Seguridad Informática
2021-1 Presentación de la materia Seguridad Informática2021-1 Presentación de la materia Seguridad Informática
2021-1 Presentación de la materia Seguridad Informática
 
Tema 1. Active Directory
Tema 1. Active DirectoryTema 1. Active Directory
Tema 1. Active Directory
 
Administración de Servidores WINDOWS T1
Administración de Servidores WINDOWS T1Administración de Servidores WINDOWS T1
Administración de Servidores WINDOWS T1
 
Caso de estudio No.1: Heartbleed y Shellshock
Caso de estudio No.1: Heartbleed y ShellshockCaso de estudio No.1: Heartbleed y Shellshock
Caso de estudio No.1: Heartbleed y Shellshock
 
Tema 3. Seguridad en las Comunicaciones
Tema 3. Seguridad en las ComunicacionesTema 3. Seguridad en las Comunicaciones
Tema 3. Seguridad en las Comunicaciones
 
2017-2 Tema 2. Identidad
2017-2 Tema 2. Identidad2017-2 Tema 2. Identidad
2017-2 Tema 2. Identidad
 
Presentación de la materia Seguridad Informática 2017-2
Presentación de la materia Seguridad Informática 2017-2Presentación de la materia Seguridad Informática 2017-2
Presentación de la materia Seguridad Informática 2017-2
 
Tema 1. Seguridad Física
Tema 1. Seguridad FísicaTema 1. Seguridad Física
Tema 1. Seguridad Física
 
Presentación de la materia Seguridad en redes 2017-2
Presentación de la materia Seguridad en redes 2017-2Presentación de la materia Seguridad en redes 2017-2
Presentación de la materia Seguridad en redes 2017-2
 
Presentación del Módulo 6. Seguridad en Base de Datos
Presentación del Módulo 6. Seguridad en Base de DatosPresentación del Módulo 6. Seguridad en Base de Datos
Presentación del Módulo 6. Seguridad en Base de Datos
 
Módulo 3. Tema 1. Cableado Estructurado
Módulo 3. Tema 1. Cableado EstructuradoMódulo 3. Tema 1. Cableado Estructurado
Módulo 3. Tema 1. Cableado Estructurado
 
Presentación Módulo 3. Tecnología de conectividad en redes.
Presentación Módulo 3. Tecnología de conectividad en redes.Presentación Módulo 3. Tecnología de conectividad en redes.
Presentación Módulo 3. Tecnología de conectividad en redes.
 
Tema 1, Introducción a la Informática Forense
Tema 1, Introducción a la Informática ForenseTema 1, Introducción a la Informática Forense
Tema 1, Introducción a la Informática Forense
 

Último

Horarios Exámenes EVAU Ordinaria 2024 de Madrid
Horarios Exámenes EVAU Ordinaria 2024 de MadridHorarios Exámenes EVAU Ordinaria 2024 de Madrid
Horarios Exámenes EVAU Ordinaria 2024 de Madrid
20minutos
 
PLAN DE CAPACITACION xxxxxxxxxxxxxxxxxxx
PLAN DE CAPACITACION xxxxxxxxxxxxxxxxxxxPLAN DE CAPACITACION xxxxxxxxxxxxxxxxxxx
PLAN DE CAPACITACION xxxxxxxxxxxxxxxxxxx
cportizsanchez48
 
el pensamiento critico de paulo freire en basica .pdf
el pensamiento critico de paulo freire en basica .pdfel pensamiento critico de paulo freire en basica .pdf
el pensamiento critico de paulo freire en basica .pdf
almitamtz00
 
EVALUACION ESTUDIANTIL 2023-2024 Ecuador - Costa.pptx
EVALUACION ESTUDIANTIL 2023-2024 Ecuador - Costa.pptxEVALUACION ESTUDIANTIL 2023-2024 Ecuador - Costa.pptx
EVALUACION ESTUDIANTIL 2023-2024 Ecuador - Costa.pptx
Victor Elizalde P
 
SEMIOLOGIA DE HEMORRAGIAS DIGESTIVAS.pptx
SEMIOLOGIA DE HEMORRAGIAS DIGESTIVAS.pptxSEMIOLOGIA DE HEMORRAGIAS DIGESTIVAS.pptx
SEMIOLOGIA DE HEMORRAGIAS DIGESTIVAS.pptx
Osiris Urbano
 
INFORME MINEDU DEL PRIMER SIMULACRO 2024.pdf
INFORME MINEDU DEL PRIMER SIMULACRO 2024.pdfINFORME MINEDU DEL PRIMER SIMULACRO 2024.pdf
INFORME MINEDU DEL PRIMER SIMULACRO 2024.pdf
Alejandrogarciapanta
 
Aprender-IA: Recursos online gratuitos para estar al tanto y familiarizarse c...
Aprender-IA: Recursos online gratuitos para estar al tanto y familiarizarse c...Aprender-IA: Recursos online gratuitos para estar al tanto y familiarizarse c...
Aprender-IA: Recursos online gratuitos para estar al tanto y familiarizarse c...
María Sánchez González (@cibermarikiya)
 
Guia para Docentes como usar ChatGPT Mineduc Ccesa007.pdf
Guia para Docentes como usar ChatGPT Mineduc Ccesa007.pdfGuia para Docentes como usar ChatGPT Mineduc Ccesa007.pdf
Guia para Docentes como usar ChatGPT Mineduc Ccesa007.pdf
Demetrio Ccesa Rayme
 
Dia de la Bandera colegio Santa Angela 2024
Dia de la Bandera colegio Santa Angela 2024Dia de la Bandera colegio Santa Angela 2024
Dia de la Bandera colegio Santa Angela 2024
77361565
 
6° GRADO UNIDAD DE APRENDIZAJE 3 JUNIO.docx
6° GRADO UNIDAD DE APRENDIZAJE 3 JUNIO.docx6° GRADO UNIDAD DE APRENDIZAJE 3 JUNIO.docx
6° GRADO UNIDAD DE APRENDIZAJE 3 JUNIO.docx
DanielaBurgosnazario
 
FORTI-JUNIO 2024. CIENCIA, EDUCACION, CULTURA,pdf
FORTI-JUNIO 2024. CIENCIA, EDUCACION, CULTURA,pdfFORTI-JUNIO 2024. CIENCIA, EDUCACION, CULTURA,pdf
FORTI-JUNIO 2024. CIENCIA, EDUCACION, CULTURA,pdf
El Fortí
 
Septima-Sesion-Ordinaria-del-Consejo-Tecnico-Escolar-y-el-Taller-Intensivo-de...
Septima-Sesion-Ordinaria-del-Consejo-Tecnico-Escolar-y-el-Taller-Intensivo-de...Septima-Sesion-Ordinaria-del-Consejo-Tecnico-Escolar-y-el-Taller-Intensivo-de...
Septima-Sesion-Ordinaria-del-Consejo-Tecnico-Escolar-y-el-Taller-Intensivo-de...
AracelidelRocioOrdez
 
LA PEDAGOGIA AUTOGESTONARIA EN EL PROCESO DE ENSEÑANZA APRENDIZAJE
LA PEDAGOGIA AUTOGESTONARIA EN EL PROCESO DE ENSEÑANZA APRENDIZAJELA PEDAGOGIA AUTOGESTONARIA EN EL PROCESO DE ENSEÑANZA APRENDIZAJE
LA PEDAGOGIA AUTOGESTONARIA EN EL PROCESO DE ENSEÑANZA APRENDIZAJE
jecgjv
 
Horarios y fechas de la PAU 2024 en la Comunidad Valenciana.
Horarios y fechas de la PAU 2024 en la Comunidad Valenciana.Horarios y fechas de la PAU 2024 en la Comunidad Valenciana.
Horarios y fechas de la PAU 2024 en la Comunidad Valenciana.
20minutos
 
UNA VISITA A SAN PEDRO EN EL VATICANO.pdf
UNA VISITA A SAN PEDRO EN EL VATICANO.pdfUNA VISITA A SAN PEDRO EN EL VATICANO.pdf
UNA VISITA A SAN PEDRO EN EL VATICANO.pdf
Joan Ribes Gallén
 
Nuevos espacios,nuevos tiempos,nuevas practica.pptx
Nuevos espacios,nuevos tiempos,nuevas practica.pptxNuevos espacios,nuevos tiempos,nuevas practica.pptx
Nuevos espacios,nuevos tiempos,nuevas practica.pptx
lautyzaracho4
 
Presidencias radicales (1916 – 1930) (1) (1).pdf
Presidencias radicales (1916 – 1930) (1) (1).pdfPresidencias radicales (1916 – 1930) (1) (1).pdf
Presidencias radicales (1916 – 1930) (1) (1).pdf
MARIANA110300
 
Power Point: El espiritismo desenmascarado
Power Point: El espiritismo desenmascaradoPower Point: El espiritismo desenmascarado
Power Point: El espiritismo desenmascarado
https://gramadal.wordpress.com/
 
El ensayo mexicano en el siglo XX LITERATURA
El ensayo mexicano en el siglo XX LITERATURAEl ensayo mexicano en el siglo XX LITERATURA
El ensayo mexicano en el siglo XX LITERATURA
Armando920824
 
Examen de la EvAU 2024 en Navarra Latín.
Examen de la EvAU 2024 en Navarra Latín.Examen de la EvAU 2024 en Navarra Latín.
Examen de la EvAU 2024 en Navarra Latín.
amayaltc18
 

Último (20)

Horarios Exámenes EVAU Ordinaria 2024 de Madrid
Horarios Exámenes EVAU Ordinaria 2024 de MadridHorarios Exámenes EVAU Ordinaria 2024 de Madrid
Horarios Exámenes EVAU Ordinaria 2024 de Madrid
 
PLAN DE CAPACITACION xxxxxxxxxxxxxxxxxxx
PLAN DE CAPACITACION xxxxxxxxxxxxxxxxxxxPLAN DE CAPACITACION xxxxxxxxxxxxxxxxxxx
PLAN DE CAPACITACION xxxxxxxxxxxxxxxxxxx
 
el pensamiento critico de paulo freire en basica .pdf
el pensamiento critico de paulo freire en basica .pdfel pensamiento critico de paulo freire en basica .pdf
el pensamiento critico de paulo freire en basica .pdf
 
EVALUACION ESTUDIANTIL 2023-2024 Ecuador - Costa.pptx
EVALUACION ESTUDIANTIL 2023-2024 Ecuador - Costa.pptxEVALUACION ESTUDIANTIL 2023-2024 Ecuador - Costa.pptx
EVALUACION ESTUDIANTIL 2023-2024 Ecuador - Costa.pptx
 
SEMIOLOGIA DE HEMORRAGIAS DIGESTIVAS.pptx
SEMIOLOGIA DE HEMORRAGIAS DIGESTIVAS.pptxSEMIOLOGIA DE HEMORRAGIAS DIGESTIVAS.pptx
SEMIOLOGIA DE HEMORRAGIAS DIGESTIVAS.pptx
 
INFORME MINEDU DEL PRIMER SIMULACRO 2024.pdf
INFORME MINEDU DEL PRIMER SIMULACRO 2024.pdfINFORME MINEDU DEL PRIMER SIMULACRO 2024.pdf
INFORME MINEDU DEL PRIMER SIMULACRO 2024.pdf
 
Aprender-IA: Recursos online gratuitos para estar al tanto y familiarizarse c...
Aprender-IA: Recursos online gratuitos para estar al tanto y familiarizarse c...Aprender-IA: Recursos online gratuitos para estar al tanto y familiarizarse c...
Aprender-IA: Recursos online gratuitos para estar al tanto y familiarizarse c...
 
Guia para Docentes como usar ChatGPT Mineduc Ccesa007.pdf
Guia para Docentes como usar ChatGPT Mineduc Ccesa007.pdfGuia para Docentes como usar ChatGPT Mineduc Ccesa007.pdf
Guia para Docentes como usar ChatGPT Mineduc Ccesa007.pdf
 
Dia de la Bandera colegio Santa Angela 2024
Dia de la Bandera colegio Santa Angela 2024Dia de la Bandera colegio Santa Angela 2024
Dia de la Bandera colegio Santa Angela 2024
 
6° GRADO UNIDAD DE APRENDIZAJE 3 JUNIO.docx
6° GRADO UNIDAD DE APRENDIZAJE 3 JUNIO.docx6° GRADO UNIDAD DE APRENDIZAJE 3 JUNIO.docx
6° GRADO UNIDAD DE APRENDIZAJE 3 JUNIO.docx
 
FORTI-JUNIO 2024. CIENCIA, EDUCACION, CULTURA,pdf
FORTI-JUNIO 2024. CIENCIA, EDUCACION, CULTURA,pdfFORTI-JUNIO 2024. CIENCIA, EDUCACION, CULTURA,pdf
FORTI-JUNIO 2024. CIENCIA, EDUCACION, CULTURA,pdf
 
Septima-Sesion-Ordinaria-del-Consejo-Tecnico-Escolar-y-el-Taller-Intensivo-de...
Septima-Sesion-Ordinaria-del-Consejo-Tecnico-Escolar-y-el-Taller-Intensivo-de...Septima-Sesion-Ordinaria-del-Consejo-Tecnico-Escolar-y-el-Taller-Intensivo-de...
Septima-Sesion-Ordinaria-del-Consejo-Tecnico-Escolar-y-el-Taller-Intensivo-de...
 
LA PEDAGOGIA AUTOGESTONARIA EN EL PROCESO DE ENSEÑANZA APRENDIZAJE
LA PEDAGOGIA AUTOGESTONARIA EN EL PROCESO DE ENSEÑANZA APRENDIZAJELA PEDAGOGIA AUTOGESTONARIA EN EL PROCESO DE ENSEÑANZA APRENDIZAJE
LA PEDAGOGIA AUTOGESTONARIA EN EL PROCESO DE ENSEÑANZA APRENDIZAJE
 
Horarios y fechas de la PAU 2024 en la Comunidad Valenciana.
Horarios y fechas de la PAU 2024 en la Comunidad Valenciana.Horarios y fechas de la PAU 2024 en la Comunidad Valenciana.
Horarios y fechas de la PAU 2024 en la Comunidad Valenciana.
 
UNA VISITA A SAN PEDRO EN EL VATICANO.pdf
UNA VISITA A SAN PEDRO EN EL VATICANO.pdfUNA VISITA A SAN PEDRO EN EL VATICANO.pdf
UNA VISITA A SAN PEDRO EN EL VATICANO.pdf
 
Nuevos espacios,nuevos tiempos,nuevas practica.pptx
Nuevos espacios,nuevos tiempos,nuevas practica.pptxNuevos espacios,nuevos tiempos,nuevas practica.pptx
Nuevos espacios,nuevos tiempos,nuevas practica.pptx
 
Presidencias radicales (1916 – 1930) (1) (1).pdf
Presidencias radicales (1916 – 1930) (1) (1).pdfPresidencias radicales (1916 – 1930) (1) (1).pdf
Presidencias radicales (1916 – 1930) (1) (1).pdf
 
Power Point: El espiritismo desenmascarado
Power Point: El espiritismo desenmascaradoPower Point: El espiritismo desenmascarado
Power Point: El espiritismo desenmascarado
 
El ensayo mexicano en el siglo XX LITERATURA
El ensayo mexicano en el siglo XX LITERATURAEl ensayo mexicano en el siglo XX LITERATURA
El ensayo mexicano en el siglo XX LITERATURA
 
Examen de la EvAU 2024 en Navarra Latín.
Examen de la EvAU 2024 en Navarra Latín.Examen de la EvAU 2024 en Navarra Latín.
Examen de la EvAU 2024 en Navarra Latín.
 

Tema 3. Arquitectura y diseño de seguridad

  • 1. Seguridad Informática Tema 3. Arquitectura y diseño de seguridad Francisco Medina López – paco.medina@comunidad.unam.mx Facultad de Contadurı́a y Administración Universidad Nacional Autónoma de México 2022-1
  • 2. Temario 1 Arquitectura de Computadoras 2 Mecanismos de protección 3 Modelos formales de seguridad 4 Guı́as de Evaluación 5 Certificación y Acreditación
  • 3. Temario 1 Arquitectura de Computadoras 2 Mecanismos de protección 3 Modelos formales de seguridad 4 Guı́as de Evaluación 5 Certificación y Acreditación
  • 4. Arquitectura El estándar TOGAF define a la arquitecture como: Definición La estructura de los componentes, sus interrelaciones y los principios y directrices que rigen su diseño y evolución en el tiempo. Dominios: 1 Arquitectura de negocio: define la estrategia empresarial, la gobernanza, la organización y los procesos empresariales clave. 2 Arquitectura de datos: describe la estructura de los activos de datos lógicos y fı́sicos de una organización y los recursos de gestión de datos. 3 Arquitectura de aplicación: proporciona las directrices para el desarrollo e implementación de las aplicaciones. 4 Arquitectura tecnológica: describe al software y hardware que se requiere para respaldar la implementación de servicios y aplicaciones; esto incluye infraestructura de TI, middleware, redes, comunicaciones, procesamiento, estándares, etc.
  • 5. Arquitectura de seguridad Definición Diseño de alto nivel de un sistema desde una perspectiva de seguridad, es decir, cómo los controles de seguridad fueron seleccionados e implementados dentro del sistema. Considera: • Ciclo de vida de un sistema, desde su concepción hasta su retiro. • Cómo se organizan los usuarios, los datos y los servicios para garantizar que las interacciones potenciales de mayor riesgo estén protegidas por los mecanismos de seguridad simples y autónomos.
  • 6. Pasos para el diseño de la arquitectura de seguridad 1 Revisar el uso propuesto del sitema. • Identificar las interacciones entre los usuarios, los datos y los servicios del sistema. • Gestionar el riesgo. • Identificar requisitos externos tales como el cumplimiento (compliance) y obligaciones contractuales. 2 Agrupar a los usuarios y los datos en categorı́as amplias utilizando los requisitos de acceso a los roles, junto con la clasificación formal de los datos y la autorización del usuario.
  • 7. Principios de Arquitectura de Seguridad I 1 Economia del mecanismo. El diseño de los controles de seguridad debe ser lo más simple posible para garantizar una alta seguridad. 2 Fail-safe defaults. Los controles de seguridad deben permitir operar el sistema de acuerdo a la polı́tica de seguridad y rechazar cualquier otra operación. 3 Mediación completa. Todas las operaciones en todos los objetos de un sistema deben verificarse para asegurarse que cumplen con la polı́tica de seguridad. 4 Diseño abierto. La seguridad del control no debe depender del secreto de su funcionamiento, sino únicamente de contraseñas o secretos bien especificados.
  • 8. Principios de Arquitectura de Seguridad II 5 Seperación de privilegio. Los controles de seguridad que dependen de varios sujetos para autorizar una operación, brindan mayor seguridad que aquellos que dependen de un solo sujeto. 6 Mı́nimo privilegio. Los sujetos y las operaciones que realizan en un sistema deben realizarse con el mı́nimo privilegio posible. 7 Least common mechanism. Es preferible minimizar el uso compartido de recursos y sistemas entre diferentes partes. 8 Psicológicamente aceptable. El control de seguridad debe ser utilizable de forma natural para que los usuarios los utilicen ”de forma rutinaria y automática”.
  • 11. Temario 1 Arquitectura de Computadoras 2 Mecanismos de protección 3 Modelos formales de seguridad 4 Guı́as de Evaluación 5 Certificación y Acreditación
  • 12. Mecanismos de protección Definición Cualquier tipo de elemento tecnológico que permita identificar, proteger, detectar, responder o minimizar el riesgo asociado con la ocurrencia de una amenaza especı́fica. Objetivo: • Reducir los efectos producidos por las amenazas de seguridad (threats) y vulnerabilidades (vulnerabilities) a un nivel tolerable para una organización.
  • 14. Soluciones de seguridad (2) Categorı́as: • Advanced Threat Protection, ICS + OT, NAC, SDN, DDoS Protection, DNS Security, Network Firewall, SASE, Deception, Network Analysis & Forensics.
  • 15. Magic Quadrant for Endpoint Protection Platforms
  • 16. ICS + OT Definición Sistema de control industrial (ICS) es un término general que abarca varios tipos de sistemas de control e instrumentos asociados utilizados para el control de procesos industriales. Definición La tecnologı́a operativa (OT) se refiere a los sistemas informáticos que se utilizan para gestionar las operaciones industriales, incluyen gestión de la lı́nea de producción, control de operaciones mineras, monitoreo de petróleo y gas, . . . [8]
  • 17. Magic Quadrant for Industrial IoT Platforms
  • 18. Control de aceso a la red (NAC) Definición Network Access Control (NAC) es una tecnologı́a que permite controlar de forma muy granular qué dispositivos pueden acceder a la red, permitiendo establecer polı́ticas de gestión de los dispositivos, tanto fijos como móviles, e integrar polı́ticas BYOD.
  • 20. Redes definidas por software (SDN) Definición Las redes definidas por software (SDN) representan un enfoque en el que las redes utilizan controladores basados en software o interfaces de programación de aplicaciones (API) para dirigir el tráfico en la red y comunicarse con la infraestructura de hardware subyacente. [9] 1 Este enfoque es distinto al de las redes tradicionales, que utilizan dispositivos de hardware dedicados (enrutadores y conmutadores) para controlar el tráfico de la red. 2 Una SDN puede crear y controlar una red virtual o controlar una red de hardware tradicional mediante el software.
  • 22. Protección contra DDoS Tecnologı́as para protección contra DDoS:[10] 1 Scrubbing centers 2 CDNs 3 CSPs y proveedores de hosting 4 IaaS
  • 23. Scrubbing center Definición Cento de datos centralizado donde se analiza y elimina el tráfico malicioso (ddos, vulnerabilidades conocidas y exploits). Enlace . • Utilizados por grandes empresas, como ISP y proveedores de nube. • Cuando una organización está bajo ataque, el tráfico se redirige (normalmente mediante DNS o BGP) al centro de depuración, donde un sistema de mitigación de ataques elmina el tráfico malicioso y devuelve tráfico limpio a la red para su entrega.
  • 24. Firewall de Red Definición Un firewall de red es un sistema o una combinación de sistemas que impone una barrera entre dos o más redes que por lo regular forman una división entre un ambiente seguro y una abierto, como Internet. Figura: El Firewall y los ambientes de seguridad Moraes, Alexandre M. S. P. Cisco Firewalls, Cisco Press, P 6.
  • 25. Magic Quadrant for Network Firewalls
  • 26. Secure Access Service Edge (SASE) Definición Un perı́metro de servicio de acceso seguro (SASE) es una arquitectura de red que combina capacidades de VPN y SD-WAN con funciones de seguridad nativas de la nube, como puertas de enlace web seguras, agentes de seguridad de acceso a la nube, firewall y acceso a la red de confianza cero. Enlace • Estas funciones se entregan desde la nube y el proveedor de SASE las proporciona como un servicio.
  • 28. Magic Quadrant for WAN Edge Infrastructure
  • 29. Engaño (Deception) Definición Tecnologı́as que permiten desplegar múltiples trampas y señuelos en una red, utilizando un camuflaje que aparenta equipos o recursos reales, con el fin de que los atacantes los rastreen, ataquen, e incluso los vulneren, pensando que están logrando comprometer a la organización. Los objetivos que se buscan son: 1 Obtener información valiosa acerca de las técnicas y artefactos que están utilizando los atacantes, ası́ como de sus posibles objetivos y métodos, proporcionando inteligencia accionable a los equipos de ciberseguridad para actuar de manera más oportuna y eficiente. 2 Retrasar, distraer o frustrar las actividades de los atacantes, sobre todas aquellas asociadas con el reconocimiento y los movimientos laterales.
  • 30. ¿Para que es usan las tecnologı́as del Engaño?
  • 31. Hype Cycle for Network Security
  • 32. Hype Cycle for Security Operations
  • 33. Temario 1 Arquitectura de Computadoras 2 Mecanismos de protección 3 Modelos formales de seguridad 4 Guı́as de Evaluación 5 Certificación y Acreditación
  • 34. Modelos formales de Seguridad “Los modelos de seguridad son un concepto importante en el análisis y diseño de sistemas de cómputo seguro” . • Provee un marco de refrencia dentro del cual puede ser implementada una polı́tica de seguridad. • Define los lineamientos necesarios para implementar y soportar la polı́tica de seguridad. • Provee los lineamientos y directivas que deben cumplir los desarrollos de hardware y software, motivo por el cual solemos referirnos a estos como la representación simbólica de una polı́tica de seguridad en un conjunto de reglas que pueden ser seguidas por una computadora.
  • 35. Polı́tica vs Modelo de Seguridad Mientras que una polı́tica de seguridad es generalmente un conjunto de directivas o intenciones abstractas, un modelo de seguridad representa exactamente el modo en el cual la polı́tica deberı́a ser implementada. Las polı́ticas de seguridad proveen los objetivos abstractos y el modelo de seguridad provee las reglas necesarias para cumplir con dichos objetivos.
  • 36. Implementación En la actualidad, los modelos formales de seguridad han quedado algo relegados respecto de la cambiante dinámica de negocios con la cual convivimos a diario. Siendo rigoristas, si bien los mismos aún permiten establecer parámetros generales, a nivel práctico solo pueden ser implementados parcialmente. Conceptos tales como: Firewall, Troyanos o Worms, no se encuentran contemplados en los denominados modelos formales
  • 37. Bell-Lapadula Definición • Orientado a mantener la confidencialidad. • Reglas de Operación: • simple-rule (no read up) = espionaje • *-rule (no write down) = divulgación • strong-*-rule : si se posee la capacidad de read y write sólo se pueden realizar estas funciones en el mismo nivel.
  • 39. Caracterı́sticas • El modelo define un estado seguro (secure state) • El acceso entre sujetos y objetos respeta una polı́tica de seguridad especı́fica. • TCSEC es una implantación de Bell-LaPadula • Solo aplica a la sensibilizad (nivel de confidencialidad/secreto) de la información. • Es el modelo mas representativo en ambientes militares.
  • 40. Biba • El modelo Biba cubre niveles de integridad, los cuales son análogos a los niveles de sensitividad del modelo Bell-LaPadula. • Los niveles de integridad cubren la modificación impropia de datos. • Tal vez el modelo mas representativo respecto de ambientes comerciales. • Previene que usuarios no autorizados realicen modificaciones (1er objetivo de integridad) • Modelo Read Up, Write Down • Los sujetos no pueden leer objetos de integridad inferior, y no pueden escribir objetos de integridad superior.
  • 42. Resumen Biba • Orientado a asegurar la Integridad • Reglas de Operación: • simple-rule: no read down = evitar las fuentes dudosas. • *-rule: no write up = no contaminar otros documentos.
  • 43. Clark & Wilson • Al igual que Biba, este modelo se encuentra orientado a proteger la integridad de la información. • Cumple con los principales objetivos de un modelo de integridad: • Previene las modificaciones por parte de usuarios no autorizados. (T – Tamper). • Previene que usuarios autorizados realicen modificaciones impropias. • Mantiene la consistencia interna y externa. (C – Consistencia) • Refuerza el concepto de auditoria. • Todas las las modificaciones deben ser registradas (L - Logged)
  • 44. Well Formed Transactions • Propone “Well Formed Transactions” • Una WFT no es mas que una serie de operaciones que permiten la transferencia de datos de un estado seguro a otro estado seguro. • Algunos de los principios relacionados con WFT son: • Ejecución de tareas en forma ordenada. • Ejecución exacta de las tareas definidas. • Autenticación de los individuos que ejecutan las tareas. • El modelo Clark & Wilson, incorpora la separación de tareas (separation of duties) dentro de la arquitectura de una aplicación. Es decir, provee las reglas que los desarrolladores deben seguir a efectos de reforzar este principio a través de procedimientos de software.
  • 46. Resumen Biba • Orientado a asegurar la Integridad • Conceptos Clave: • Access Triple = Subject -> Application (SW)-> Object • Auditing = Aplicación logueando accesos • Separation of Duties = Separación de tareas.
  • 47. Modelo de máquina de estados Definición Modelo matemático abstracto que se compone de variables de estado y funciones de transición entre estados. • La mayorı́a de los modelos formales de seguridad, incluyendo Bell-LaPadula y Biba, se consideran derivados de este modelo.
  • 48. Modelo de flujo de información Definición Simplifica el análisis de covert channels. Cuando Information Flow Model es utilizado, un sistema es seguro si todo flujo de información ilegal no es permitido. • Bell-LaPadula es un modelo de IF que asegura que la información no pueda fluir de un compartimiento a otro en forma que afecte la confidencialidad. Biba define compartimientos de datos basado en niveles de integridad, implementando de este modo, un modelo de IF que proteja la integridad de la información mas confiable.
  • 49. Modelo de no-interferencia Definición Cubre aquellos casos en los que se necesita prevenir que sujetos que operan en un determinado dominio puedan afectarse entre sı́ violando la polı́tica de seguridad (Actividades realizadas sobre un nivel de seguridad no deberı́an afectar o ser vistas, por sujetos u objetos en un nivel de seguridad diferente). • De utilización tı́pica en sistemas multi-nivel. • Su principal propósito no es otro que el de combatir ataques de inferencia y de covert channels.
  • 50. Modelo de Matriz de Accesos(Access Matrix Model) Definición Es un modelo de máquina de estados aplicado a un ambiente DAC (Discretionary Access Control). Decisiones de acceso, son basadas en ACLs de objetos y tablas de capacidades del sujeto.
  • 51. Temario 1 Arquitectura de Computadoras 2 Mecanismos de protección 3 Modelos formales de seguridad 4 Guı́as de Evaluación 5 Certificación y Acreditación
  • 52. Guı́as de Evaluación I • El proceso de determinar cuan seguro es un sistema puede ser una tarea difı́cil. • Las organizaciones necesitan métodos para evaluar el grado de seguridad otorgado por tal o cual sistema, y de este modo determinar si el mismo resuelve los requisitos impuestos por la polı́tica de seguridad implementada. • Una guı́a de evaluación, deberı́a ser lo suficientemente general en sus principios, de modo tal que la misma sirva a los efectos de comparar diferentes tipos de sistemas y otorgar a los mismos una clasificación de acuerdo al nivel de seguridad que presentan.
  • 53. Guı́as de Evaluación II • Inicialmente, el concepto detrás de la confección de una Guı́a de Evaluación, se encuentra ı́ntimamente relacionado con la necesidad por parte de las agencias de seguridad, el gobierno, y las organizaciones privadas, de conocer el nivel o grado de seguridad, existente en los diferentes sistemas, aplicaciones o productos al momento de efectuar una compra o contratación.
  • 54. Trusted Computer Systems Evaluation Criteria I • En 1985 el “National Computer Security Center” (NCSC), desarrolla para el “Departamento de Defensa de los EEUU” (DoD), un conjunto de estándares, los cuales resultan en la creación de TCSEC (Trusted Computer System Evaluation Criteria). • El principal objetivo detrás de la creación de TCSEC es el de proveer al gobierno y entidades relacionadas, con un guı́a que les permitiera evaluar los productos ofrecidos por los diferentes proveedores, para cada uno de los criterios de seguridad especificados. • TCSEC == “Orange Book” • TCSEC provee: • Una base para establecer requisitos de seguridad en las especificaciones de adquisición.
  • 55. Trusted Computer Systems Evaluation Criteria II • Un estándar de los servicios de seguridad que deben ser proporcionados por los vendedores para los diferentes criterios de seguridad existentes. • Una forma de medir la seguridad de un sistema de información. • TCSEC direcciona confidencialidad. No integridad. La funcionalidad de los mecanismos de seguridad y el Assurance de los mismos, NO son evaluados en forma separada.
  • 56. Niveles TCSEC • D - Minimal protection • C - Discretionary Protection • C1 – Usuarios cooperativos que pueden proteger su propia información • C2 – DAC más granular, se puede auditar al usuario/ proceso individualmente (individual accountability) • B - Mandatory Protection (Bell-LaPadula, RM, Security Labels Requeridas) • B1 Labeled Security Protection (Process Isolation!) • B2 Structured Protection (Covert Channels!) • B3 Security Domains • A - Verified Protection (Direcciona seguridad a nivel Top Secret) • A1 Verified Design
  • 57. Information Technology Security Evaluation Criteria • Desarrollado en Europa como estándar único de evaluación de la seguridad en sistemas. • Evalúa Funcionalidad y Seguridad (Assurance) en forma separada. • Effectiveness = Hacen lo que se espera que haga. • Correctiveness = Que tan correcto es el proceso por el cual lo hacen. • Clasificaciones por: • F1-F10 Niveles de Funcionalidad. • E0-E6 Niveles de Assurance. • ITSEC direcciona Integridad, Disponibilidad y Confidencialidad. • ITSEC se ocupa de evaluar sistemas en red mietras que TCSEC solo hace lo propio con sistemas stand-alone.
  • 58. Common Criteria (CC) • Creado por el ISO en 1993. • Creado a partir de TCSEC, ITSEC, Canadian Trusted. Computer Product Evaluation Criteria (CTCPEC) y el Federal Criteria. • Provee mas flexibilidad que TCSEC e ITSEC.
  • 59. Componentes del Common Criteria (CC) • Protection Profile (PP) • Descripción de las necesidades de seguridad de un producto. • Target of Evaluation (TOE) • Producto que se propone evaluar. • Security Target (ST) • Descripción escrita por el proveedor explicando las funcionalidades de seguridad (que hace?) y mecanismos de assurance que cumplen los requerimientos de seguridad (como lo hace?). • Packages – Evaluation Assurance Levels (EAL) • Los requerimientos Funcionales (definen el comportamiento del producto relacionado con la seguridad) y de Assurance (establece el nivel de confianza en el producto) son reunidos en paquetes para ser reutilizados. • Describen los requisitos a cumplir para alcanzar cada nivel EAL especı́fico.
  • 60. Package Ratings – Evaluations Ratings 1 Basic Assurance • EAL 1 Functionally tested • EAL 2 Structurally tested • EAL 3 Methodically tested and checked • EAL 4 Methodically designed, tested and reviewed 2 Medium Assurance • EAL 5 Semiformally designed and tested 3 High Assurance • EAL 6 Semiformally verified design and tested • EAL 7 Formally verified design and tested
  • 61. Temario 1 Arquitectura de Computadoras 2 Mecanismos de protección 3 Modelos formales de seguridad 4 Guı́as de Evaluación 5 Certificación y Acreditación
  • 62. Certificacón y Acreditación Certificación Evaluación técnica mediante la cual se revisan los mecanismos y controles de seguridad, con el objeto de evaluar su efectividad. • La certificación considera al sistema dentro del ambiente operativo. Acreditación Aceptación oficial de los resultados de una certificación. • La acreditación refiere a la decisión oficial de la gerencia relacionada con la operación del sistema en el ambiente especificado.
  • 63. Referencias bibliográficas Improving Web Application Security: Threats and Countermeasures, Mark Curphey. ISO/IEC 27000:2012. Introducción al modelado de amenazas [web page]. Microsoft, Inc. [Visitada en: 27 de septiembre de 2021]. Uso de un marco para identificar amenazas y buscar formas de reducir o eliminar el riesgo [web page]. Microsoft, Inc. [Visitada en: 27 de septiembre de 2021]. STRIDE (seguridad) [web page]. Wikipedia. [Visitada en: 27 de septiembre de 2021]. ¿Qué es una amenaza avanzada persistente (APT)? [web page]. Kaspersky. [Visitada en: 27 de septiembre de 2021]. Chinese Army Unit Is Seen as Tied to Hacking Againist U.S., 2013 [web page]. The New Your Times. [Visitada en: 27 de