“AÑO DE LA INTEGRACIÓN NACIONAL Y EL    RECONOCIMIENTO DE NUESTRA    DIVERSIDAD”CTP COMPUTACIÓN EINFORMÁTICA              ...
Algunas DefinicionesLa Seguridad tiene que ver con la protección de objetos de   valor.La Seguridad en Sistemas se enfoca ...
¿Seguridad en Crisis?Todos los días se ven fallas de seguridad...¿Dónde?   Medios amarillistas (TV, Web)   Listas de corre...
Seguridad: Línea de TiempoLos ataques comenzaron en la década del 50. Los primerosatacantes eran personas cercanas a los s...
Seguridad: Línea de Tiempo (2)1975 UNIX-UNIX copy protocol (UUCP) y puertas trampa enmails,1976 Criptografia de clave públ...
Seguridad: Línea de Tiempo (3)1990 Remailers anónimos.1993 Spooling, sniffing, firewalls.1994 SSL v 1.0 (Netscape).1996 Ja...
Introducción a la SeguridadSeguridad en una OrganizaciónAntaño: Física AdministrativaHoy:Computadoras - necesidad de herra...
Introducción a la SeguridadEl otro gran cambio: sistemas distribuidos y redes paratransportar datos (tty-user y maq.- maq....
Objetivos de la Seguridad de Datos            (Relativos a entidades no autorizadas)Privacidad: no accesible     Permanent...
Aspectos de Seguridad  Ataque (Seguridad): cualquier acción que comprometa laseguridad de la información perteneciente a u...
Instrucciones1. Lograr acceso (no autorizado) a cierta información.2. Hacerse pasar por alguien más para evitar responsabi...
Instrucciones9. Entrometerse (oculto) en la comunicación de otros usuarios.10. Saber quién y cuando accedió alguien a cier...
Población de RiesgosDefensa Aerea.                   TV/Radio.Aviones de pasajeros (WTC).      Ascensores.Sistemas de Arma...
Ataques: Categorías1. Interrupción     Ataque a la Disponibilidad.2. Intercepción     Ataque a la Confidencialidad.3. Modi...
Flujo Normal de la Información           Fuente                   DestinoDurante un Flujo Normal de la información, la tra...
Interrupción           Fuente                     DestinoAlgo de "valor" en el sistema es destruido o se vuelve nodisponib...
Intercepción             Fuente                   DestinoAlguien no autorizado gana acceso sobre algo de valor           ...
Modificación            Fuente                  DestinoAlguien (o algo) no solo gana acceso sino que tambiénmodifica cont...
Fabricación              Fuente                   DestinoAlguien (o algo) inserta objetos falsos en el sistema.          ...
Ataques Pasivos Eavesdrop ("escuchar" sin que el que “habla“ se entere) omonitoreo de transmisiones.Objetivo: obtener info...
Ataques Activos     Involucra la modificación de datos a la introducción de   información falsa.Cuatro tipos:     Masquera...
Servicios (Gráfico Objetivos)          Confidencialidad   Integridad         Disponibilidad
Seguridad: Servicios (ISO)  Confidencialidad: protección (de ataques pasivos) sobre la infotransmitida. Privacidad. Ej: me...
Seguridad: Servicios (ISO) No Repudio: evita que el emisor o el receptor niegue la ocurrenciade un mensaje ("yo no fui"). ...
Métodos de Defensa Controles de Software. Ej: acceso limitado a bases dedatos, proteger a un usuario de otro (Sistema Oper...
Auditoria de Sistemas de InformaciónTecnologías de la Información                     RIESGOS
Auditoria de Sistemas de Información•Presión para incroporar tecnología en estrategias empresariales•Aumento de la complej...
Auditoria de Sistemas de Información• Dependencia creciente de la información y los sistemas que la gestionan• Vulnerabili...
Auditoria de Sistemas de Información• El IT Governance Institute fue fundado en 1998 para desarrollar normativas  de direc...
Auditoria de Sistemas de Información       Gestión de los SIControl y evaluación de esta           gestión
Auditoria de Sistemas de InformaciónPara asegurar que las     TI proporcionan valor        Coste, tiempo, funcionalidad ...
Auditoria de Sistemas de InformaciónPerspectiva de la gestión de SI/TICIMPACTOen el desarrollo del negocio o actividad emp...
Auditoria de Sistemas de InformaciónLa Auditoría de Sistemas de Información nace hacemás de 35 años justamente como un    ...
Auditoria de Sistemas de Información•Contabilidad desde el inicio de las transacciones comerciales• Civilizaciones egipcia...
Auditoria de Sistemas de Información                   AUDITORÍA   Proceso sistemático de obtención y evaluación  objetiva...
Auditoria de Sistemas de Informaciónla AUDITORIA de SI es el                  PROCESOde RECOGER, AGRUPAR y EVALUAR        ...
Auditoria de Sistemas de InformaciónLa responsabilidad en último extremo, en una empresa  sobre la optimización de la cali...
Auditoria de Sistemas de InformaciónUn Auditor de Sistemas de Información debe, entre sus  responsabilidades, realizar:1. ...
Upcoming SlideShare
Loading in …5
×

seguridad informática

456 views
396 views

Published on

Published in: Education
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
456
On SlideShare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
6
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

seguridad informática

  1. 1. “AÑO DE LA INTEGRACIÓN NACIONAL Y EL RECONOCIMIENTO DE NUESTRA DIVERSIDAD”CTP COMPUTACIÓN EINFORMÁTICA UNIDAD DIDÁCTICA: SEGURIDAD INFORMÁTICA DOCENTE: ING. SIST. LIZTH CAMPOS CRISPIN
  2. 2. Algunas DefinicionesLa Seguridad tiene que ver con la protección de objetos de valor.La Seguridad en Sistemas se enfoca en proteger objetos de valor dentro de un sistema informático (información y servicios).Al igual que la seguridad en el “mundo real”, la seguridad en sistemas provee distintos tipos y grados de la misma.
  3. 3. ¿Seguridad en Crisis?Todos los días se ven fallas de seguridad...¿Dónde? Medios amarillistas (TV, Web) Listas de correo, libros!¿Por qué? ….. Si existe mucha experiencia en el campo.En general se debe a pobres diseños y falta de dinero invertido en seguridad por parte de las compañías. Sin embargo esto está cambiando.......
  4. 4. Seguridad: Línea de TiempoLos ataques comenzaron en la década del 50. Los primerosatacantes eran personas cercanas a los sistemas (¿ y hoy?.......).1960 HW de protección de memoria: VM.1962 Mecanismos de control de acceso a los archivos.1967 Funciones One-Way (passwords).1968 Seguridad en kernels (Multics).1969-89 ARPANET (Admin. Centralizada), Intemet TCP/IPen 1977.
  5. 5. Seguridad: Línea de Tiempo (2)1975 UNIX-UNIX copy protocol (UUCP) y puertas trampa enmails,1976 Criptografia de clave pública y firma digital.1978 RSA (clave pública).1978 Estudio de contraseñas (inteligente).1978 Primer protocolo de e-cash.1983 DNS distribuido (vulnerable al spoofing).1984 Los Virus empiezan a investigarse.1985 Esquemas de contraseñas avanzados.1988 Intemet Worm (6000 computadoras (10% Intemet)).1988 Autentificación distribuida (Kerberos).1989 Pretty Good Privacy (PGP) y Privacy Enhanced Mail (PEM).
  6. 6. Seguridad: Línea de Tiempo (3)1990 Remailers anónimos.1993 Spooling, sniffing, firewalls.1994 SSL v 1.0 (Netscape).1996 Java (Web hacking),1997 DNSSec.1998 Programas de barrido de redes.1998 Ipsec.1999 Primer ataque DDoS.2000 I LoveYou (VBscript) (.5 a 8 millones de infecciones).B02k.2001 Red Code, Nimbda (infección de servidores MS IIS).2002 Mas I-Worms (en general explotan fallas en IntemetExplorer).
  7. 7. Introducción a la SeguridadSeguridad en una OrganizaciónAntaño: Física AdministrativaHoy:Computadoras - necesidad de herramientas que protejan lainformación. Ej.: time-sharing, redes, dial-up.Esta colección de herramientas diseñadas para este fin y paradificultar la vida del hacker conforman la Seguridad en Sistemas
  8. 8. Introducción a la SeguridadEl otro gran cambio: sistemas distribuidos y redes paratransportar datos (tty-user y maq.- maq.). Seguridad en RedesNo hay un límite claro entre estas dos formas de seguridad: Seguridad en Sistemas y Seguridad en Redespues todos los sistemas actuales son distribuidos pornaturaleza.
  9. 9. Objetivos de la Seguridad de Datos (Relativos a entidades no autorizadas)Privacidad: no accesible Permanente: no borrable, no editable. Confiable: que los cambios puedan detectarse.Pero los datos deben ser accesibles a personas autorizadas!(Probablemente sobre una red, posiblemente sobre laIntemet).
  10. 10. Aspectos de Seguridad Ataque (Seguridad): cualquier acción que comprometa laseguridad de la información perteneciente a una organización. Mecanismo de Seguridad: mecanismo diseñado paraprevenir, detectar o recuperarse de un ataque. Servicio de Seguridad: servicio que mejora la seguridaden un sistema de procesamiento de datos y la trasferencia deestos datos. Hace uso de uno o más mecanismos de seguridad.
  11. 11. Instrucciones1. Lograr acceso (no autorizado) a cierta información.2. Hacerse pasar por alguien más para evitar responsabilidad.3. Afirmar haber recibido información de otro usuario que el hacker creó. ( P.e., atribución fraudulenta de responsabilidad).4. Afirmar haber enviado a un receptor (en un dada fecha) información que nunca fue enviada (o que fue enviada en otro momento).5. No aceptar haber recibido información que en realidad si fue recibida, o decir que llegó en otro momento.6. Aumentar la “capacidad” del cheater (mayor acceso, origen, etc.).7. Modificar (sin tener la autoridad) las "capacidades" de otros para aumentar, restringir, agregar, borrar, etc. su nivel,8. Ocultar cierta información dentro de otra información (abierta).
  12. 12. Instrucciones9. Entrometerse (oculto) en la comunicación de otros usuarios.10. Saber quién y cuando accedió alguien a cierta información.11. Acusar a un protocolo de integridad revelando información que se supone el cheater no debería conocer.12. Cambiar el comportamiento de algún SW, usualmente agregando funciones ocultas.13. Sabotear un protocolo causando fallas (aparentes) en el sistema,14. Evitar que los usuarios puedan comunicarse. Tal vez provocando15. fallas atribuibles a problemas en la red, otros usuarios, etc.
  13. 13. Población de RiesgosDefensa Aerea. TV/Radio.Aviones de pasajeros (WTC). Ascensores.Sistemas de Armas (Arg!). Trenes.Bancos. Registros policíacos.Energia eléctrica. Impuestos.Control de tránsito (peajes). Notas (Warning).E-mails. BurgerKing.Historias Clinicas (medicina). Otros. Algunos de estos crímenes son TERRORISTAS
  14. 14. Ataques: Categorías1. Interrupción Ataque a la Disponibilidad.2. Intercepción Ataque a la Confidencialidad.3. Modificación Ataque a la Integridad.4. Fabricación Ataque a la Autenticidad.
  15. 15. Flujo Normal de la Información Fuente DestinoDurante un Flujo Normal de la información, la transferencia(de un archivo, región de memoria, cte.) se hace desde elfuente hacia el destino (otro archivo, memoria, etc.).
  16. 16. Interrupción Fuente DestinoAlgo de "valor" en el sistema es destruido o se vuelve nodisponible. (Ataque a la Disponibilidad).Ejemplos: destrucción de HW, cortado de una línea decomunicación, deshabilitación de un FS (umount).
  17. 17. Intercepción Fuente DestinoAlguien no autorizado gana acceso sobre algo de valor (Ataque a la Confidencialidad).El "no-autorizado" puede ser una persona, una máquina o unprograma.Ejemplos: captura de información en una red, o una copia noautorizada de archivos.
  18. 18. Modificación Fuente DestinoAlguien (o algo) no solo gana acceso sino que tambiénmodifica contenido.(Ataque a la Integridad).Ejemplos: cambiar valores en un archivo, alterando unprograma para que se comporte diferente, o modificando unmensaje transmitido en una red.
  19. 19. Fabricación Fuente DestinoAlguien (o algo) inserta objetos falsos en el sistema. (Ataque a la Autenticidad).Ejemplos: inserción de msgs espúreos en una red o inserción deregistros falsos en un archivo.
  20. 20. Ataques Pasivos Eavesdrop ("escuchar" sin que el que “habla“ se entere) omonitoreo de transmisiones.Objetivo: obtener información transmitida.Dos tipos: Liberación de Contenidos: conversación telefónica, e- mail o información confidencial. Análisis de Tráfico: el atacante puede mediante análisis de la comunicación (patrones, long., etc.) tratar de “adivinar” la naturaleza de la comunicación. Ej: si se usa encriptación débil. Dificiles de detectar pues no se altera información. Énfasis en prevención más que en detección.
  21. 21. Ataques Activos Involucra la modificación de datos a la introducción de información falsa.Cuatro tipos: Masquerade: cuando una entidad se hace pasar por otra. Generalmente involucra uno de los siguientes tipos de ataques activos. Repetición (Replay): involucra la captura pasiva de información y la subsecuente retransmisión para lograr un efecto no autorizado. Modificación de mensajes: cuando el atacante gana acceso a algo de valor y lo modifica, retrasa o reordena. Denegación de Servicio (DoS): previene o inhibe el uso normal de cierto servicio de comunicación. Ej: supresión de mensajes hacia Pepe. Énfasis en detección y recuperación.
  22. 22. Servicios (Gráfico Objetivos) Confidencialidad Integridad Disponibilidad
  23. 23. Seguridad: Servicios (ISO) Confidencialidad: protección (de ataques pasivos) sobre la infotransmitida. Privacidad. Ej: mensajes entre dos personas. Autentificación: asegurar que la comunicación sea auténtica. Ej: e-mail recibido por un usuario o comunicación terminal-server. Integridad: asegurar que los mensajes recibidos sean iguales a losenviados (modificación de mensajes y DoS (a vece)). Además dedetectar estos ataques activos puede participar en la recuperación.
  24. 24. Seguridad: Servicios (ISO) No Repudio: evita que el emisor o el receptor niegue la ocurrenciade un mensaje ("yo no fui"). Control de Aceso: es la capacidad de limitar y controlar el acceso aun sistema. Previene uso inapropiado de recursos. Disponibilidad: una variedad de ataques pueden ser causantes depérdida parcial o total de la disponibilidad. Algunos puedenprevenirse con autentificación/encriptación o seguridad fisica.
  25. 25. Métodos de Defensa Controles de Software. Ej: acceso limitado a bases dedatos, proteger a un usuario de otro (Sistema Operativo). Controles de Hardware. Ej: smartcards. Encriptación. Políticas. Ej: cambio frecuente de contraseñas. Educación. Auditorías. Detección de intrusos. Controles físicos.Amenazas/Defensa Amenazas/Defensa: Bucle Infinito
  26. 26. Auditoria de Sistemas de InformaciónTecnologías de la Información RIESGOS
  27. 27. Auditoria de Sistemas de Información•Presión para incroporar tecnología en estrategias empresariales•Aumento de la complejidad de los entornos de TI•Infraestructuras TI fragmentadas•Brecha de comunicación entre directivos y gerentes TI•Niveles de servicio de TI decepcionantes tanto por parte de las funcionesinternas de TI como los proveedores externos•Costes de TI fuera de control•Productividad y ROI marginales sobre inversiones en TI•Frustración por parte de los usuarios, dando lugar a soluciones ad-hoc•Inflexibilidad organizacional ITGI (2004)
  28. 28. Auditoria de Sistemas de Información• Dependencia creciente de la información y los sistemas que la gestionan• Vulnerabilidades crecientes y amplio espectro de amenazas• Escalado y coste de las inversiones actuales y futuras de la información y lossistemas de información• Necesidad de cumplir con leyes y regulaciones• Potencial de las TI para cambiar espectacularmente las organizaciones y lasprácticas empresariales, crear nuevas oportunidades y reducir costes• Reconocimiento por parte de muchas organizaciones de los beneficiospotenciales que las TI pueden aportar ITGI (2004)
  29. 29. Auditoria de Sistemas de Información• El IT Governance Institute fue fundado en 1998 para desarrollar normativas de dirección y control de la tecnología de la información en las empresas.• Un Gobierno TI(Tecnologías de la Información) eficaz permite asegurar que las TI soportarán los objetivos de negocio, optimizando la inversión empresarial en TI y gestionando adecuadamente los riesgos y oportunidades relacionados con las TI.• El TI Governance Institute desarrolló el sistema de Objetivos de control de información y tecnologías relacionadas (CobiT) y ofrece casos de investigación y estudio originales para ayudar a líderes empresariales y directivos en sus responsabilidades de gobierno de las TI. ITGI (2004)
  30. 30. Auditoria de Sistemas de Información Gestión de los SIControl y evaluación de esta gestión
  31. 31. Auditoria de Sistemas de InformaciónPara asegurar que las  TI proporcionan valor  Coste, tiempo, funcionalidad esperados  TI no proporcionan sorpresas  Riesgos mitigados  TI contribuyen al negocio  Nuevas oportunidades e innovaciones en productos, procesos y serviciosla dirección necesita tener las TI bajo control
  32. 32. Auditoria de Sistemas de InformaciónPerspectiva de la gestión de SI/TICIMPACTOen el desarrollo del negocio o actividad empresarial REQUERIMIENTOS de fiabilidad de los servicios REQUERIMIENTOS legales
  33. 33. Auditoria de Sistemas de InformaciónLa Auditoría de Sistemas de Información nace hacemás de 35 años justamente como un mecanismo para valorar y evaluar LA CONFIANZAque se puede depositar en los sistemas deinformación
  34. 34. Auditoria de Sistemas de Información•Contabilidad desde el inicio de las transacciones comerciales• Civilizaciones egipcia, griega, romana, etc. (AUDITOR-ORIS)• Edad Media y Renacimiento en Italia: Vaticano, República deVenecia, etc.• Contralor de Borgoña, Veedor de Castilla, Account de Inglaterra,etc.• SXVIII: revolución industrial, creación de grandes empresas• SXX: Impulso a las normas de auditoría en EEUU comoconsecuencia del desarrollo económico y crisis de 1929• Años 1960: nace la Auditoría Informática Historia
  35. 35. Auditoria de Sistemas de Información AUDITORÍA Proceso sistemático de obtención y evaluación objetiva acerca de aseveraciones efectuadas porterceros referentes a hechos y eventos de naturaleza económica, para testimoniar el grado de correspondencia entre tales afirmaciones y unconjunto de criterios convencionales, comunicando los resultados obtenidos a los destinatarios y usuarios interesados American Accounting Association
  36. 36. Auditoria de Sistemas de Informaciónla AUDITORIA de SI es el PROCESOde RECOGER, AGRUPAR y EVALUAR EVIDENCIASpara DETERMINARsi un SISTEMA INFORMATIZADO SALVAGUARDA los ACTIVOS, mantiene la INTEGRIDAD de los DATOS, lleva a cabo los FINES de la ORGANIZACIÓN y UTILIZA EFICIENTEMENTE los RECURSOS
  37. 37. Auditoria de Sistemas de InformaciónLa responsabilidad en último extremo, en una empresa sobre la optimización de la calidad de los SI, y la rentabilidad de los recursos informáticos la tiene: 1. La Dirección de la empresa 2. El auditor de SI interno 3. El responsable de las Tecnologías de la Información 4. El vendedor del software y el hardware
  38. 38. Auditoria de Sistemas de InformaciónUn Auditor de Sistemas de Información debe, entre sus responsabilidades, realizar:1. La redacción de los procedimientos de control en el área de seguridad lógica2. La aprobación de nuevos sistemas de gestión3. Evaluar los riesgos de los sistemas de información4. Las pruebas del plan de continuidad del negocio

×