1. Seguridad informticaUnidad 1Introduccin a la seguridad informtica

2. Unidad 1. Introduccin a laseguridad informtica3. Anlisis de riesgos4. Control de riesgos5. Herramientas de anlisis y gestin de riesgos 3. 3. Analisis de riesgosTener en cuenta todos los elementos que lo componen. Analizar el nivel devulnerabilidad de cada uno ante determinadas amenazas. Valorar elimpacto que causaria un ataque sobre todo el sistemaLos elementos de estudio son: Activos Amenazas Riesgos Vulnerbilidades Ataques Impactos 4. 3. Analisis de riesgos. Elementos.Activos Recursos que pertenecen al propio sistema de informacion que facilita el funcionamiento de la empresa y la consecucion de objetivos. Hay que tener en cuenta la relacion que guardan entre ellos y la influencia que se ejercen. Se pueden clasificar en: Datos Software Hardware Redes Soportes Instalaciones Personal Servicios 5. 3. Analisis de riesgos. Elementos.AmenazasPresencia de uno o mas factores de diversa indole que atacarian alsistema produciendole daos aprovechandose de su nivel devulnerabilidad.Son diferentes tipos de amenazas: los cortes electricos, fallos hardware,riesgos ambientales, errores intencionados o no de usuarios, entrada desoftware malicioso, y el robo, destruccin o modificacin de lainformacion.Se clasifican en cuatro grupos, en funcion del tipo de alteracion: De interrupcion De interceptacion De modificacion De fabricacionSegn su origen se clasifican en accidentales e iintencionadas 6. 3. Analisis de riesgos. Elementos.RiesgosPosibilidad de que se materialice o no una amenazaaprovechando una vulnerabilidad.Ante un riesgo una organizacin puede optar por tres alternativas: Asumirlo sin hacer nada Aplicar medidas para disminuirlo o anularlo TransferirloVulnerabilidadesProbabilidades que existen de que una amenaza se materialicecontra un activo. No todos los activos son vulnerables a lasmismas amenazas. Datos accion hackers, instalacion electrica cortocircuito, etc. 7. 3. Analisis de riesgos. Elementos.Ataques Se ha producido un ataque accidental o deliberado contra el sistema cuando se ha materializado una amenaza. En funcin del impacto causado a los activos atacados, los ataques se clasifican en: Activos (daan, bloquean, saturan) Pasivos (solo acceden sin autorizacion) Un ataque puede se directo o indirecto.Impactos Es el dao causado. Son la consecuencia de la materializacion de una o mas amenazas, sobre uno o varios activos aprovechando la vulnerabilidad del sistema. 8. 3. Analisis de riesgos. Proceso.Para implantar una politica de seguridad es necesario seguir unesquema logico: Hacer inventario y valoracion de los activos. Identificar y valorar las amenazas que puedan afectar a la seguridad de los activos Identificar y evaluar las medidas de seguridad existentes Identificar y valorar vulnerabilidades de los activos a las amenazas que les afectan Identificar los objetivos de seguridad de la organizacin Determinar sistemas de medicion de riesgos Determinar el impacto que produciria un ataque Identificar y seleccionar las medidas de proteccion 9. 3. Analisis de riesgosActividad 3libro (pagina 15)1) La ventana de un centro de calculo en donde se encuentra la mayor parte de los ordenadores y el servidor de unaorganizacin se quedo mal cerrada. Durante una noche de tormenta, la ventana abierta constituye un riesgo, unaamenaza o una vulnerabilidad? Razona tu respuesta.2) Pon un ejemplo de como un sistema de informacin podra ser seriamente daado por la presencia de un factor que seconsidera de poca relevancia y que explique de alguna manera que la cadena siempre se rompe por el eslabn masdbil.3) Que elementos se estudian para hacer un anlisis de riesgos?4) Teniendo en cuenta las propiedades de integridad, disponibilidad y confidencialidad, indica cuales de estas propiedades severan afectadas por: una amenaza de interrupcin una amenaza de interceptacin una amenaza de modificacin una amenaza de fabricacin 10. 4. Control de riesgos.Es posterior a realizar el anlisis de riesgos.Consiste en determinar los servicios necesarios para conseguir un sistemade informacin seguro. Para poder dar estos servicios sera necesario dotaral sistema de los mecanismos correspondientes.Servicios de seguridad Integridad Confidencialidad Autenticacin (o identificacion) No repudio (irrenunciabilidad) Control de acceso 11. 4. Control de riesgos.Mecanismos de seguridad Preventivos Detectores CorrectoresCada mecanismos ofrece al sistema uno o mas servicios de losespecificados antes.La eleccin de mecanismos depende de cada sistema de informacin, desu funcin, las posibilidades econmicas de la organizacin y los riesgos alos que este expuesto el sistema. 12. 4. Control de riesgos.Mecanismos de seguridad.Seguridad lgica.Objetivo: proteger digitalmente la informacin de manera directa. Control de acceso Cifrados de datos Antivirus Cortafuegos Firma digital Certificados digitalesLas redes inalmbricas necesitan precauciones adicionales para suproteccin: SSID, proteccin mediante claves encriptadas WEP o WPA,filtrado de direcciones MAC. 13. 4. Control de riesgos. Mecanismos de seguridad.Seguridad fsicaObjetivo: proteger al sistema de peligros fsicos y lgicos Respaldo de datos Dispositivos fsicosActividad 51.Actividad 15 p182.Actividad 16 p183.Actividad 19 p18 14. 4. Control de riesgos.Mecanismos de seguridad.Actividad 6Aprender visualizando un VDEO (parte2)http://www.youtube.com/watch?feature=player_embedded&v=9FB5zuPWW6k (35minutos)Entra en la URL de descarga del software (ver parte1 de esta actividad). Completa lainformacin de la siguiente tabla.Busca un anti-rootkit, aade sus caractersticas a la tabla anterior.A continuacin descarga todo el software de proteccin que aparece en la tabla anterior alescritorio de tu PC. Haz una captura de pantalla que visualice todos los archivos descargados,e insertala aqu. 15. 4. Control de riesgos.Enfoque global de la seguridad.La informacin es el ncleo de todo el sistema de informacinPara proteger sus propiedades de integridad, disponibilidad yconfidencialidad es necesario tener en cuenta a los niveles que la rodeanpara dotarlos de mecanismos y servicios de seguridad.Niveles desde el exterior hasta la informacin: Ubicacin fsica Hardware y componentes de red Sistema operativo y software InformacinLa conexin de Internet atraviesa los distintos niveles hasta llegar a lainformacin.El personal empresa puede actuar en todos los niveles o parte de ellos. 16. 4. Control de riesgos. Mecanismos de seguridad.Actividad 7Utilizar un FORO http://www.trucoswindows.net/forowindows/seguridad-informatica/Cual es el mejor antyspyware gratuito?Que es el adware? Que es el spyware?Cual de estos son antispyware:pest patrolspy sweeperspybot searchmicrosoft spywarepanda spywareHaz un listado de antivirus online.Haz un resumen de tipos de malware.Busca y anota la url de cuatro foros mas sobre seguridad informtica. 17. 5. Herramientas de anlisis ygestin de riesgos. Poltica de seguridad. Recoge las directrices u objetivos de una organizacin con respecto a laseguridad de la informacin Forma parte de su poltica general, ha de ser aprobada por la direccin El objetivo principal es concienciar a todo el personal de una organizacincon el sistema de informacin, en la necesidad de conocer que principiosrigen la seguridad de la entidad y cuales son las normas para conseguirlos objetivos de seguridad planificados Deber redactarse de forma que sea comprendida por todo el personal dela empresa No todas las polticas de seguridad son iguales Existen algunos estndares por pases y por reas, los msinternacionales son los definidos por la ISO 18. 5. Herramientas de anlisis ygestin de riesgos. Poltica de seguridad.Contendr los objetivos de seguridad de la empresa englobados en: Identificar necesidades, riesgos y evaluar impactos ante un ataque Relacin de medidas de seguridad para afrontar riesgos de cada activo Proporcionar reglas y procedimientos para afrontar los riesgos Detectar vulnerabilidades y controlar fallos que se producen en los activos Definir un plan de contingencia 19. 5. Herramientas de anlisis ygestin de riesgos.Plan de contingencia.Es un instrumento de gestin que contiene las medidas que garanticen lacontinuidad del negocio protegiendo al sistema de informacin de lospeligros que lo amenazan o recuperndolo tras un impacto.Consta de tres subplanes independientes: Plan de respaldo Plan de emergencia Plan de recuperacinSu elaboracin no puede descuidar al personal de la organizacin, que serainformado y entrenado para actuar como le haya sido encomendado. 20. 4. Control de riesgos.Mecanismos de seguridad.Actividad 8libro pag. 23 (28, 30, 31)Cual es la orientacin principal de un plan de contingencias?En que se basa la recuperacin de la informacin?Tu jefe te pide que le hagas una buena poltica de copias de seguridad para que seaseguida por todos los trabajadores de la empresa. Que debera contemplar? 21. 5. Herramientas de anlisis y gestin de riesgos. Auditoria.Es un anlisis pormenorizado de un sistema de informacin que permitedescubrir, identificar y corregir vulnerabilidades en los activos y en losprocesos que se realizan.Su finalidad verificar que se cumplen los objetivos de la poltica deseguridad.Proporciona una imagen real y actual del estado de seguridad de unsistema de informacin.Puede ser total o parcial.Puede realizarse por personal de la propia empresa o por una empresaexterna especializada. 22. 5. Herramientas de anlisis ygestin de riesgos.Auditoria.Tras el anlisis y la identificacin de vulnerabilidades, se emite un informeque contiene: Activos y procesos analizados (descripcin y caractersticas) Relaciones y dependencias entre activos Relacin y evaluacin vulnerabilidades detectadas Verificacin cumplimiento normativa Propuesta de medidas preventivas y de correccinPara evaluar la seguridad se necesitan herramientas: Manuales Software CAAT 23. 5. Herramientas de anlisis ygestin de riesgos.Modelos de seguridad.Es la expresin formal de una poltica de seguridad. Se utiliza comodirectriz para evaluar sistemas de informacinSegn las funciones u operaciones sobre las que ejerce mayor control sepueden clasificar en: Matriz de acceso (segn el sujeto) Acceso basado en funciones de control (segn la funcin que tiene elsujeto) Multinivel (segn la jerarquizacin de los datos) 24. 4. Control de riesgos. Mecanismos de seguridad.Actividad 9libro pag. 23 - 24 (32, 33, 34, 35, 36)Trabajas en una empresa donde ademas de la oficina central, hay una red de oficinas porvarias ciudades. Se elabora un plan de contingencias exclusivamente para la oficina central,es esto correcto?En tu empresa se desarrolla un plan de contingencias que entre otras muchas situaciones,cubre las siguientes: un corte en la corriente elctrica, el sol pasando a travs de un cristal enpleno agosto, derramar una bebida en el teclado o sobre el monitor, olvidarse el porttil en untaxi, el robo del ordenador. Crees que cubrir estos puntos es acertado?Una misma poltica de seguridad puede servir a todo tipo de empresas?De que modo debe ser redactada la poltica de seguridad de una organizacin?Define con tus propias palabras que es un plan de contingencias. 25. 4. Control de riesgos. Mecanismos de seguridad.Actividad 10libro pag. 22 - 24 (24, 37, 38, 39)Investiga que es un test de intrusin.Investiga en Internet sobre empresas especializadas en auditorias de sistemas de informacin(Hispasec, Audisis). Escoge una de estas empresas y contesta:en que fases realiza la auditoria?que tipos de auditoria realiza?ofrece revisiones peridicas del sistema?Investiga en internet para encontrar el software de auditoria: CaseWare, Wizsoft, Ecora, ACL,AUDAP. Escoge uno o varios y haz una lista de las operaciones que realiza para llevar a cabola auditoria.Averigua que informacin tiene wikipedia sobre el modelo de seguridad Bell-LaPadula. Escribela definicin que hace del modelo. 26. 4. Control de riesgos. Mecanismos de seguridad.Actividad 9libro pag. 23 - 24 (32, 33, 34, 35, 36)Trabajas en una empresa donde ademas de la oficina central, hay una red de oficinas porvarias ciudades. Se elabora un plan de contingencias exclusivamente para la oficina central,es esto correcto?En tu empresa se desarrolla un plan de contingencias que entre otras muchas situaciones,cubre las siguientes: un corte en la corriente elctrica, el sol pasando a travs de un cristal enpleno agosto, derramar una bebida en el teclado o sobre el monitor, olvidarse el porttil en untaxi, el robo del ordenador. Crees que cubrir estos puntos es acertado?Una misma poltica de seguridad puede servir a todo tipo de empresas?De que modo debe ser redactada la poltica de seguridad de una organizacin?Define con tus propias palabras que es un plan de contingencias. 27. 4. Control de riesgos. Mecanismos de seguridad.Actividad 9libro pag. 23 - 24 (32, 33, 34, 35, 36)Trabajas en una empresa donde ademas de la oficina central, hay una red de oficinas porvarias ciudades. Se elabora un plan de contingencias exclusivamente para la oficina central,es esto correcto?En tu empresa se desarrolla un plan de contingencias que entre otras muchas situaciones,cubre las siguientes: un corte en la corriente elctrica, el sol pasando a travs de un cristal enpleno agosto, derramar una bebida en el teclado o sobre el monitor, olvidarse el porttil en untaxi, el robo del ordenador. Crees que cubrir estos puntos es acertado?Una misma poltica de seguridad puede servir a todo tipo de empresas?De que modo debe ser redactada la poltica de seguridad de una organizacin?Define con tus propias palabras que es un plan de contingencias. 28. Unidad 1. Introduccin a laseguridad informticaEn esta unidad has aprendido a: Distinguir entre sistema de informacin y sistema informtico Comprender que significa seguridad en el concepto amplio y en elconcreto. Conocer las propiedades de un sistema seguro Entender los conceptos de activo, amenaza, riesgo, vulnerabilidad,ataque e impacto. Entender lo que son servicios, mecanismos y herramientas deseguridad Tener la base necesaria para afrontar el conocimiento de laseguridad en sistemas informticos