seguridad en redes
DESCRIPTION
Conceptos basicos que se deben saber para la seguridad en redes inalambricasTRANSCRIPT
UNIDAD IV SEGURIDAD
Seguridad Informática consiste en la implementación de un conjunto de medidas técnicas destinadas a preservar la
confidencialidad Integridad y disponibilidad De la información, pudiendo abarcar otras propiedades como la: Autenticidad Responsabilidad Fiabilidad (posición y responsabilidad) El no repudio.
Fiabilidad
Es la probabilidad de que un sistema se comporte tal y como se espera de el.
Un sistema será seguro o fiable si podemos garantizar tres aspectos: Confidencialidad Integridad Disponibilidad: la información del sistema debe permanecer accesible mediante
autorización.La fiabilidad va a depender del entorno en el que se encuentra el sistema? El entorno puede afectar la fiabilidad al sistema ya sea por falta de capacitación o indaguen en el sistema.
Confidencialidad
Acceso a la información solo mediante autorización y de forma controlada. Hace referencia a la necesidad de ocultar o mantenerse en secreto sobre
determinada información o recursos. Su objetivo es prevenir la divulgación no autorizada de la información. Un ejemplo típico de mecanismo que garantice la confidencialidad es la
Criptografía.
IntegridadHace referencia a la fidelidad de la información o recursos, se expresa en lo referente a prevenir el cambio impropio o desautorizado.
El objetivo de la integridado Prevenir modificaciones no autorizadas de la información
La integridad hace referencia a los datos (el volumen de la información) La integridad de los datos
o El volumen de la información
La integridad del origeno La fuente de datos, llamada autenticación
Disponibilidad Hace referencia a que la información y los recursos estén accesibles a elementos
autorizados. Su objetivo es prevenir interrupciones no autorizadas/controladas de los recursos
informativos. “Un sistema esta disponible cuando su diseño e implementación permite
deliberadamente negar el acceso a datos o servicios determinados”Dependiendo del entorno de trabajo y sus necesidades se puede dar prioridad a un aspecto del acceso a ella
Puede que el sistema este disponible, pero tenga fallas. La disponibilidad se puede medir con un numero
AutenticaciónEs la verificación de la identidad del usuario, generalmente cuando entra en el sistema o la red, o accede a una base de datos.
Normalmente se utiliza un nombre de usuario y contraseña.
Otras técnicas mas seguras. Es posible autenticarse de tres maneras:
Por lo que uno sabe (contraseña) Por lo que uno tiene (tarjeta magnética) Por lo que uno es (huella digital)
AutorizaciónEl proceso por el cual se determina que, como y cuando, un usuario autenticado puede utilizar los recursos de la organización.
El mecanismo o el grado de autorización puede variar dependiendo de que sea lo que se esta protegiendo. Los recursos en general y los datos en particular, se organiza en niveles y cada nivel debe tener una autorización.
Dependiendo del recursos la autorización puede hacerse por medio de la firma en un formulario o mediante una contraseña, pero siempre es necesario que dicha autorización quede registrada para ser controlada posteriormente.
En el caso de los datos, la autorización debe asegurar la confidencialidad e integridad, ya sea dando o denegando el acceso en lectura, modificación, creación o borrado de datos.
Solo se debe dar autorización a acceder a un recurso a aquellos usuarios que lo necesiten para hacer su trabajo, y si no se le negara. Aunque también es posible dar autorizaciones.
AdministraciónEs la que establece, mantiene y elimina la autorización de los usuarios del sistema, los recursos del sistema y las relaciones usuarios-recursos del sistema.
Los administradores son responsables de transformar las políticas de la organización y las autorizaciones otorgadas a un formato que pueda ser usado por el sistema.
La administración de la seguridad informática dentro de la organización es una tarea en continuo cambio y evolución ya que las tecnologías utilizadas cambian muy rápidamente y con ella los riesgos.
Auditoria y registro
Es la continua vigilancia de los servicios en producción y para ello se recaba información y se analiza.
Este proceso permite a los administradores verificar que las técnicas de autenticación y autorización utilizadas se realizan según lo establecido y se cumplen los objetivos fijados dentro de la organización
Registro: El mecanismo por el cual cualquier intento de violar las reglas de seguridad establecidas queda almacenado en una base de eventos para luego analizarlo.
Auditar y registrar no tiene sentido si no van acompañados de un estudio posterior en el que se analice la información recabada.
Monitoria la información registrada o auditar se puede realizar mediante medios manuales o automáticos, y con una periodicidad que dependerá de lo critica que sea la información protegida y del nivel de riesgo.
Norma ISO 27001
La ing. soft. se ocupa de la producción de software estándar de la IS es la ISO 27001Reconocido internacionalmente, que especifica los requisitos para establecer, implementar, operar, revisar, mantener y mejorar un sistema de gestión de seguridad de la información.
Enfocado a la gestión de manipulación de la información
Norma ISO12207
Define el ciclo de vida del Soft. como un marco de referencia que contiene los procesos, actividades y las tareas involucradas en el desarrollo, explotación y el mantenimiento de un producto de soft., abarcando la vida del sistema.
La confiabilidad del sistema es que este no falle.
Hace referencia los pasos que contiene el desarrollo del sistema. Abarca todos los etapas del desarrollo de un sistema.
Enfocado al desarrollo del proyecto con base al ciclo de vida
Fases de modelo cascada
Ingeniería de la seguridad
Es una rama que usa todo tipo de ciencias para desarrollar los procesos y diseños en cuanto a las características de seguridad, controles y sistemas de seguridad.
Métodos para diseñar y construir sistemas que permanezcan confiables a pesar de posibles actos maliciosos o a errores de diversos tipos.
Garantizara un buen desarrollo del sistema cubriendo todos esos puntos (que no haya falla y que sea 100% confiable)
Técnicas Equipos: Diseño de cerraduras, cámaras, sensores, etc. Procesos: Política de control (autorización de manipular ciertas tareas),
procedimientos de acceso (accesos controlados), etc. Informático: Control de passwords, criptografia de la información, etc.
Políticas de seguridad
El modelado de riesgos -> Diseño de un sistema SEGURO
Todo riesgo ocasiona un problema, y cada problema tiene un costo. Verificar cuanto capital se tiene para poder cubrir ese problema.
¿Cuales son los riesgos reales que se afrontan con el sistema?
¿Con que frecuencia puede ocurrir?
¿Cual es el costo?
¿Cuantos estamos dispuestos a invertir para garantizar que no ocurra?
RiesgosTipos de ataques a los que se esta sujeto. Determina la política y esta se define la tecnología a utilizar.
Con base a los riesgos de un sistema se tiene que establecer ciertas políticas para poder cubrirlos y hacer que el sistema funcione en un 100%.
Comprender que riesgos reales del sistema y evaluar las probabilidades de esos riesgos.
Describir la política de seguridad requerida para defenderse de esos ataques o riesgos.
Diseñar las medidas de seguridad destinadas a contrarrestar esos riesgos.Ej. Si se realiza una compra mediante tarjetas de crédito
Ejemplos de sistemas (la seguridad es fundamental)
La contabilidad de un banco. Los cajeros automáticos. Los mecanismos de protección física Los servicios en línea, vía internet Aplicaciones militares Censos Información de la salud