UNIDAD IV SEGURIDAD

Seguridad Informática consiste en la implementación de un conjunto de medidas técnicas destinadas a preservar la

confidencialidad Integridad y disponibilidad De la información, pudiendo abarcar otras propiedades como la: Autenticidad Responsabilidad Fiabilidad (posición y responsabilidad) El no repudio.

Fiabilidad

Es la probabilidad de que un sistema se comporte tal y como se espera de el.

Un sistema será seguro o fiable si podemos garantizar tres aspectos: Confidencialidad Integridad Disponibilidad: la información del sistema debe permanecer accesible mediante

autorización.La fiabilidad va a depender del entorno en el que se encuentra el sistema? El entorno puede afectar la fiabilidad al sistema ya sea por falta de capacitación o indaguen en el sistema.

Confidencialidad

Acceso a la información solo mediante autorización y de forma controlada. Hace referencia a la necesidad de ocultar o mantenerse en secreto sobre

determinada información o recursos. Su objetivo es prevenir la divulgación no autorizada de la información. Un ejemplo típico de mecanismo que garantice la confidencialidad es la

Criptografía.

IntegridadHace referencia a la fidelidad de la información o recursos, se expresa en lo referente a prevenir el cambio impropio o desautorizado.

El objetivo de la integridado Prevenir modificaciones no autorizadas de la información

La integridad hace referencia a los datos (el volumen de la información) La integridad de los datos

o El volumen de la información

La integridad del origeno La fuente de datos, llamada autenticación

Disponibilidad Hace referencia a que la información y los recursos estén accesibles a elementos

autorizados. Su objetivo es prevenir interrupciones no autorizadas/controladas de los recursos

informativos. “Un sistema esta disponible cuando su diseño e implementación permite

deliberadamente negar el acceso a datos o servicios determinados”Dependiendo del entorno de trabajo y sus necesidades se puede dar prioridad a un aspecto del acceso a ella

Puede que el sistema este disponible, pero tenga fallas. La disponibilidad se puede medir con un numero

AutenticaciónEs la verificación de la identidad del usuario, generalmente cuando entra en el sistema o la red, o accede a una base de datos.

Normalmente se utiliza un nombre de usuario y contraseña.

Otras técnicas mas seguras. Es posible autenticarse de tres maneras:

Por lo que uno sabe (contraseña) Por lo que uno tiene (tarjeta magnética) Por lo que uno es (huella digital)

AutorizaciónEl proceso por el cual se determina que, como y cuando, un usuario autenticado puede utilizar los recursos de la organización.

El mecanismo o el grado de autorización puede variar dependiendo de que sea lo que se esta protegiendo. Los recursos en general y los datos en particular, se organiza en niveles y cada nivel debe tener una autorización.

Dependiendo del recursos la autorización puede hacerse por medio de la firma en un formulario o mediante una contraseña, pero siempre es necesario que dicha autorización quede registrada para ser controlada posteriormente.

En el caso de los datos, la autorización debe asegurar la confidencialidad e integridad, ya sea dando o denegando el acceso en lectura, modificación, creación o borrado de datos.

Solo se debe dar autorización a acceder a un recurso a aquellos usuarios que lo necesiten para hacer su trabajo, y si no se le negara. Aunque también es posible dar autorizaciones.

AdministraciónEs la que establece, mantiene y elimina la autorización de los usuarios del sistema, los recursos del sistema y las relaciones usuarios-recursos del sistema.

Los administradores son responsables de transformar las políticas de la organización y las autorizaciones otorgadas a un formato que pueda ser usado por el sistema.

La administración de la seguridad informática dentro de la organización es una tarea en continuo cambio y evolución ya que las tecnologías utilizadas cambian muy rápidamente y con ella los riesgos.

Auditoria y registro

Es la continua vigilancia de los servicios en producción y para ello se recaba información y se analiza.

Este proceso permite a los administradores verificar que las técnicas de autenticación y autorización utilizadas se realizan según lo establecido y se cumplen los objetivos fijados dentro de la organización

Registro: El mecanismo por el cual cualquier intento de violar las reglas de seguridad establecidas queda almacenado en una base de eventos para luego analizarlo.

Auditar y registrar no tiene sentido si no van acompañados de un estudio posterior en el que se analice la información recabada.

Monitoria la información registrada o auditar se puede realizar mediante medios manuales o automáticos, y con una periodicidad que dependerá de lo critica que sea la información protegida y del nivel de riesgo.

Norma ISO 27001

La ing. soft. se ocupa de la producción de software estándar de la IS es la ISO 27001Reconocido internacionalmente, que especifica los requisitos para establecer, implementar, operar, revisar, mantener y mejorar un sistema de gestión de seguridad de la información.

Enfocado a la gestión de manipulación de la información

Norma ISO12207

Define el ciclo de vida del Soft. como un marco de referencia que contiene los procesos, actividades y las tareas involucradas en el desarrollo, explotación y el mantenimiento de un producto de soft., abarcando la vida del sistema.

La confiabilidad del sistema es que este no falle.

Hace referencia los pasos que contiene el desarrollo del sistema. Abarca todos los etapas del desarrollo de un sistema.

Enfocado al desarrollo del proyecto con base al ciclo de vida

Fases de modelo cascada

Ingeniería de la seguridad

Es una rama que usa todo tipo de ciencias para desarrollar los procesos y diseños en cuanto a las características de seguridad, controles y sistemas de seguridad.

Métodos para diseñar y construir sistemas que permanezcan confiables a pesar de posibles actos maliciosos o a errores de diversos tipos.

Garantizara un buen desarrollo del sistema cubriendo todos esos puntos (que no haya falla y que sea 100% confiable)

Técnicas Equipos: Diseño de cerraduras, cámaras, sensores, etc. Procesos: Política de control (autorización de manipular ciertas tareas),

procedimientos de acceso (accesos controlados), etc. Informático: Control de passwords, criptografia de la información, etc.

Políticas de seguridad

El modelado de riesgos -> Diseño de un sistema SEGURO

Todo riesgo ocasiona un problema, y cada problema tiene un costo. Verificar cuanto capital se tiene para poder cubrir ese problema.

¿Cuales son los riesgos reales que se afrontan con el sistema?

¿Con que frecuencia puede ocurrir?

¿Cual es el costo?

¿Cuantos estamos dispuestos a invertir para garantizar que no ocurra?

RiesgosTipos de ataques a los que se esta sujeto. Determina la política y esta se define la tecnología a utilizar.

Con base a los riesgos de un sistema se tiene que establecer ciertas políticas para poder cubrirlos y hacer que el sistema funcione en un 100%.

Comprender que riesgos reales del sistema y evaluar las probabilidades de esos riesgos.

Describir la política de seguridad requerida para defenderse de esos ataques o riesgos.

Diseñar las medidas de seguridad destinadas a contrarrestar esos riesgos.Ej. Si se realiza una compra mediante tarjetas de crédito

Ejemplos de sistemas (la seguridad es fundamental)

La contabilidad de un banco. Los cajeros automáticos. Los mecanismos de protección física Los servicios en línea, vía internet Aplicaciones militares Censos Información de la salud