milthon j. chavez seguridad, protección y certificación de la información mayo 2008
TRANSCRIPT
Milthon J. ChavezMilthon J. Chavez
Seguridad, protección y Seguridad, protección y certificación de la Informacióncertificación de la Información
Mayo 2008Mayo 2008
AGENDAAGENDA
• Seguridad de la Información• Protección de la Información
– Ataques a los sistemas– Prevención
• Certificación de la Información• Propuestas para la acción
Seguridad de la Información
¿Qué aseguramos?
Seguridad de la Seguridad de la InformaciónInformación
CONFIDENCIALIDADAsegurar que las información sea accesible solo a los autorizados para tener acceso.
INTEGRIDADSalvaguardar que la información y de los métodos de proceso se conserven exactos y completos.
DISPONIBILIDADAsegurar que la información y los activos asociados estén accesibles cuando sean requeridos por los usuarios autorizados.
Seguridad de InformaciónSeguridad de InformaciónNormas ISONormas ISO
2700027000 2700227002
2700327003 2700427004 2700527005
Seguridad de InformaciónSeguridad de InformaciónNormas ISONormas ISO
Política deSeguridad Organización
de la seguridad
Administración de activos
Seguridad de las
personas
SeguridadFísica y
AmbientalGestión de Comunicaciones y Operaciones
Control deAcceso
AdquisiciónDesarrollo y
Mantenimiento de Sistemas
Administración de Incidentes
Gestión de la Continuidad del
Negocio
Cumplimiento
SECCIONESECCIONESS
AGENDAAGENDA
• Seguridad de la Información• Protección de la Información
– Ataques a los sistemas– Prevención
• Certificación de la Información• Propuestas para la acción
Protección de la InformaciónProtección de la Información
¿Cómo proteger?
Protección en TICsProtección en TICs
TÉCNICA JURÍDICA
Mantener la integridad física Mantener la integridad física y la funcionalidad de los y la funcionalidad de los recursos informáticos. recursos informáticos.
Protección en TICsProtección en TICs
TÉCNICA JURÍDICA
Mantener la integridad física y la funcionalidad de los recursos informáticos
FÍSICALÓGIC
A¿Cómo separar Seguridad Física
de Seguridad Lógica?
AGENDAAGENDA
• Seguridad de la Información• Protección de la Información
– Ataques a los sistemas– Prevención
• Certificación de la Información• Propuestas para la acción
Ataques a los Ataques a los sistemassistemas
Sniffing: este ataque consiste en escuchar los datos que atraviesan la red, sin interferir con la conexión a la que corresponden. Se utiliza principalmente para obtener passwords, y en algunos casos paraobtener información confidencial. Para proteger los passwords contra el sniffing basta con emplear mecanismos de autenticación y encriptación.
Spoofing: es el nombre que se le da a los intentos del atacante por ganar el acceso a un sistema haciéndose pasar por otro que dispone de los privilegios suficientes para realizar la conexión. El ataque que más se suele utilizar sobre conexiones TCP es el conocido como adivinación del número de secuencia. Se basa en la idea de que si un atacante puede predecir el número inicial de secuencia de la conexión TCP generado por la máquina destino, entonces el atacante puede adoptar la identidad de máquina "confiada".
Hijacking: consiste en robar una conexión después de que el usuario ha superado con éxito el proceso de identificación ante el sistema. El ordenador desde el que se lanza el ataque ha de estar en alguna de las dos redes extremo de la conexión, o al menos en la ruta entre ambas. El único método seguro para protegerse contra este tipo de ataques es el uso de encriptación.
Ataques a los Ataques a los sistemassistemas
Ingeniería social: son ataques que aprovechan la buena voluntad de los usuarios de los sistemas atacados. El atacante entonces espera un poco, y entra con ese password. A partir de ahí puede emplear otras técnicas de ataque (bugs del sistema para obtener un control total de la máquina, confianza transitiva para entrar en otras máquinas de la red, etc).
Explotar bugs del software: aprovechan errores del software. A la mayor parte del software se le ha añadido la seguridad demasiado tarde, cuando ya no era posible rediseñarlo todo. Además, muchos programas corren con demasiados privilegios, lo que les convierte en objetivo de ataques, que únicamente han de hacerse con una copia del software a explotar y someterlo a una batería de pruebas para detectar alguna debilidad que puedan aprovechar.
Ataques dirigidos por datos: son ataques que tienen lugar en modo diferido, sin la participación activa por parte del atacante en el momento en el que se producen. El atacante se limita a hacer llegara la víctima una serie de datos que al ser interpretados ejecutarán el ataque propiamente dicho.
Ataques a los sistemasAtaques a los sistemas
Denegación de servicios: estos ataques no buscan ninguna información contenida en las máquinas atacadas ni conseguir acceso a ellas. Únicamente van encaminados a impedir que sus usuarios legítimos puedan usarlas.
Tempest: el barrido de los electrones por las pantallas de los ordenadores emana unas señales que pueden captarse incluso a varios metros de distancia. La tecnología tempest es capaz dereconstruir, a partir de las señales captadas, la imagen mostrada en la pantalla que las provocó. Esta tecnología es todavía excesivamente cara, de modo que de momento no es problema a tener en cuenta.
• Seguridad de la Información• Protección de la Información
– Ataques a los sistemas– Prevención
• Certificación de la Información• Propuestas para la acción
AGENDAAGENDA
Seguridad de InformaciónSeguridad de InformaciónNormas ISONormas ISO
2700027000 2700227002
2700327003 2700427004 2700527005
PrevenciónPrevención
AGENDAAGENDA
• Seguridad de la Información• Protección de la Información
– Ataques a los sistemas– Prevención
• Certificación de la Información• Propuestas para la acción
Protección Protección Jurídica Jurídica
JURIDÍCA
Constitucion de la Republica Bolivariana de Venezuela
Ciencia, Tecnología e InnovaciónTelecomunicacionesPrevención condiciones y medio ambiente de trabajo
Ley de Registro Público y del Notariado
Simplificación de Tramites Administrativos
Decreto 825
Código CivilCódigo MercantilCódigo PenalCódigo Procesal Penal
Firma Electrónica y Mensaje de Datos
Contra los Delitos Informáticos
CertificaciónCertificación
LA FIRMA LA FIRMA MANUSCRITMANUSCRIT
AA
LA FIRMA LA FIRMA ELECTRÓNICELECTRÓNIC
AAIdentificación Identificación
AutentificaciónAutentificaciónIdentificación Identificación
AutentificaciónAutentificación
Valor JurídicoValor Jurídico Valor JurídicoValor Jurídico
Generada por Generada por una personauna persona
Generada por un sistema
Certificación de la Certificación de la InformaciónInformación
56
ModeloModelo de de CertificaciCertificacióónn ElectrElectróónicanicaSignatarioSignatario DestinatarioDestinatario
CertificadoCertificado ElectronicoElectronico
MensajeMensaje de de DatosDatos + + Firma Firma ElectrElectróónicanica
Proveedor Proveedor de Servicios de Servicios
de de CertificacionCertificacion
Superintendencia Superintendencia de Servicios de Servicios de de Certificacion ElectrCertificacion Electróónicanica
Valor Valor ProbatorioProbatorio
CertificaciónCertificación Autenticidad:Autenticidad: Validar la identidad de las partes Validar la identidad de las partes Confidencilidad:Confidencilidad: Asegurar que la información
no es interceptada No-repudiación:No-repudiación: Asegurar compromisos
legales y confiables Disponibilidad:Disponibilidad: Transacciones y comunicaciones
ejecutadas de acuerdo a la demanda
Propuestas para la Propuestas para la acciónacción
• Crear canales efectivos para la contraloría social. (1.3)• Propiciar la coherencia organizativa, funcional,
procedimental y sistémica de los órganos públicos (6.1)• Incrementar los niveles de capacidad y conocimiento
del funcionario público (6.2)• Simplificación de trámites administrativos a todos los
niveles (6.3)• Divulgar y adoptar las normas de calidad internacional
que permitan ofrecer propuestas competitivas (13.4)• Garantizar la distribución generalizada de tecnología de
la información y la comunicación en todo el territorio nacional (13.3).
Propuestas para la Propuestas para la acciónacción
Milthon J. [email protected]