Segunf ud1 2
Upcoming SlideShare
Loading in...5
×

Like this? Share it with your network

Share
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
637
On Slideshare
637
From Embeds
0
Number of Embeds
0

Actions

Shares
Downloads
1
Comments
0
Likes
0

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. Seguridad informática Unidad 1Introducción a la seguridad informática
  • 2. Unidad 1. Introducción a la seguridad informática3. Análisis de riesgos4. Control de riesgos5. Herramientas de análisis y gestión de riesgos
  • 3. 3. Analisis de riesgosTener en cuenta todos los elementos que lo componen. Analizar el nivel devulnerabilidad de cada uno ante determinadas amenazas. Valorar elimpacto que causaria un ataque sobre todo el sistemaLos elementos de estudio son: ● Activos ● Amenazas ● Riesgos ● Vulnerbilidades ● Ataques ● Impactos
  • 4. 3. Analisis de riesgos. Elementos.Activos Recursos que pertenecen al propio sistema de informacion que facilita el funcionamiento de la empresa y la consecucion de objetivos. Hay que tener en cuenta la relacion que guardan entre ellos y la influencia que se ejercen. Se pueden clasificar en: ● Datos ● Software ● Hardware ● Redes ● Soportes ● Instalaciones ● Personal ● Servicios
  • 5. 3. Analisis de riesgos. Elementos.Amenazas Presencia de uno o mas factores de diversa indole que atacarian al sistema produciendole daños aprovechandose de su nivel de vulnerabilidad. Son diferentes tipos de amenazas: los cortes electricos, fallos hardware, riesgos ambientales, errores intencionados o no de usuarios, entrada de software malicioso, y el robo, destrucción o modificación de la informacion. Se clasifican en cuatro grupos, en funcion del tipo de alteracion:● De interrupcion● De interceptacion● De modificacion● De fabricacion Según su origen se clasifican en accidentales e iintencionadas
  • 6. 3. Analisis de riesgos. Elementos.Riesgos Posibilidad de que se materialice o no una amenaza aprovechando una vulnerabilidad. Ante un riesgo una organización puede optar por tres alternativas: ● Asumirlo sin hacer nada ● Aplicar medidas para disminuirlo o anularlo ● TransferirloVulnerabilidades Probabilidades que existen de que una amenaza se materialice contra un activo. No todos los activos son vulnerables a las mismas amenazas. Datos – accion hackers, instalacion electrica – cortocircuito, etc.
  • 7. 3. Analisis de riesgos. Elementos.Ataques Se ha producido un ataque accidental o deliberado contra el sistema cuando se ha materializado una amenaza. En función del impacto causado a los activos atacados, los ataques se clasifican en: ● Activos (dañan, bloquean, saturan) ● Pasivos (solo acceden sin autorizacion) Un ataque puede se directo o indirecto.Impactos Es el daño causado. Son la consecuencia de la materializacion de una o mas amenazas, sobre uno o varios activos aprovechando la vulnerabilidad del sistema.
  • 8. 3. Analisis de riesgos. Proceso.Para implantar una politica de seguridad es necesario seguir unesquema logico: ● Hacer inventario y valoracion de los activos. ● Identificar y valorar las amenazas que puedan afectar a la seguridad de los activos ● Identificar y evaluar las medidas de seguridad existentes ● Identificar y valorar vulnerabilidades de los activos a las amenazas que les afectan ● Identificar los objetivos de seguridad de la organización ● Determinar sistemas de medicion de riesgos ● Determinar el impacto que produciria un ataque ● Identificar y seleccionar las medidas de proteccion
  • 9. 3. Analisis de riesgosActividad 3libro (pagina 15)1) La ventana de un centro de calculo en donde se encuentra la mayor parte de los ordenadores y el servidor de una organización se quedo mal cerrada. Durante una noche de tormenta, la ventana abierta ¿constituye un riesgo, una amenaza o una vulnerabilidad? Razona tu respuesta.2) Pon un ejemplo de como un sistema de información podría ser seriamente dañado por la presencia de un factor que se considera de poca relevancia y que explique de alguna manera que “la cadena siempre se rompe por el eslabón mas débil”.3) ¿Que elementos se estudian para hacer un análisis de riesgos?4) Teniendo en cuenta las propiedades de integridad, disponibilidad y confidencialidad, indica cuales de estas propiedades se verían afectadas por:• una amenaza de interrupción• una amenaza de interceptación• una amenaza de modificación• una amenaza de fabricación
  • 10. 4. Control de riesgos.Es posterior a realizar el análisis de riesgos.Consiste en determinar los servicios necesarios para conseguir un sistemade información seguro. Para poder dar estos servicios sera necesario dotaral sistema de los mecanismos correspondientes.Servicios de seguridad✗ Integridad✗ Confidencialidad✗ Autenticación (o identificacion)✗ No repudio (irrenunciabilidad)✗ Control de acceso
  • 11. 4. Control de riesgos.Mecanismos de seguridad✗ Preventivos✗ Detectores✗ CorrectoresCada mecanismos ofrece al sistema uno o mas servicios de losespecificados antes.La elección de mecanismos depende de cada sistema de información, desu función, las posibilidades económicas de la organización y los riesgos alos que este expuesto el sistema.
  • 12. 4. Control de riesgos. Mecanismos de seguridad.Seguridad lógica.Objetivo: proteger digitalmente la información de manera directa.● Control de acceso● Cifrados de datos● Antivirus● Cortafuegos● Firma digital● Certificados digitalesLas redes inalámbricas necesitan precauciones adicionales para suprotección: SSID, protección mediante claves encriptadas WEP o WPA,filtrado de direcciones MAC.
  • 13. 4. Control de riesgos. Mecanismos de seguridad.Seguridad físicaObjetivo: proteger al sistema de peligros físicos y lógicos● Respaldo de datos● Dispositivos físicosActividad 51.Actividad 15 p182.Actividad 16 p183.Actividad 19 p18
  • 14. 4. Control de riesgos. Mecanismos de seguridad.Actividad 6Aprender visualizando un VÍDEO (parte2)http://www.youtube.com/watch?feature=player_embedded&v=9FB5zuPWW6k (35minutos)Entra en la URL de descarga del software (ver parte1 de esta actividad). Completa lainformación de la siguiente tabla.Busca un anti-rootkit, añade sus características a la tabla anterior.A continuación descarga todo el software de protección que aparece en la tabla anterior alescritorio de tu PC. Haz una captura de pantalla que visualice todos los archivos descargados,e insertala aquí.
  • 15. 4. Control de riesgos. Enfoque global de la seguridad.La información es el núcleo de todo el sistema de informaciónPara proteger sus propiedades de integridad, disponibilidad yconfidencialidad es necesario tener en cuenta a los niveles que la rodeanpara dotarlos de mecanismos y servicios de seguridad.Niveles desde el exterior hasta la información:● Ubicación física● Hardware y componentes de red● Sistema operativo y software● InformaciónLa conexión de Internet atraviesa los distintos niveles hasta llegar a lainformación.El personal empresa puede actuar en todos los niveles o parte de ellos.
  • 16. 4. Control de riesgos. Mecanismos de seguridad.Actividad 7Utilizar un FORO http://www.trucoswindows.net/forowindows/seguridad-informatica/¿Cual es el mejor antyspyware gratuito?¿Que es el adware? ¿Que es el spyware?Cual de estos son antispyware:pest patrolspy sweeperspybot searchmicrosoft spywarepanda spywareHaz un listado de antivirus online.Haz un resumen de tipos de malware.Busca y anota la url de cuatro foros mas sobre seguridad informática.
  • 17. 5. Herramientas de análisis y gestión de riesgos. Política de seguridad.● Recoge las directrices u objetivos de una organización con respecto a la seguridad de la información● Forma parte de su política general, ha de ser aprobada por la dirección● El objetivo principal es concienciar a todo el personal de una organización con el sistema de información, en la necesidad de conocer que principios rigen la seguridad de la entidad y cuales son las normas para conseguir los objetivos de seguridad planificados● Deberá redactarse de forma que sea comprendida por todo el personal de la empresa● No todas las políticas de seguridad son iguales● Existen algunos estándares por países y por áreas, los más internacionales son los definidos por la ISO
  • 18. 5. Herramientas de análisis y gestión de riesgos. Política de seguridad. Contendrá los objetivos de seguridad de la empresa englobados en:● Identificar necesidades, riesgos y evaluar impactos ante un ataque● Relación de medidas de seguridad para afrontar riesgos de cada activo● Proporcionar reglas y procedimientos para afrontar los riesgos● Detectar vulnerabilidades y controlar fallos que se producen en los activos● Definir un plan de contingencia
  • 19. 5. Herramientas de análisis y gestión de riesgos. Plan de contingencia.Es un instrumento de gestión que contiene las medidas que garanticen lacontinuidad del negocio protegiendo al sistema de información de lospeligros que lo amenazan o recuperándolo tras un impacto.Consta de tres subplanes independientes:● Plan de respaldo● Plan de emergencia● Plan de recuperaciónSu elaboración no puede descuidar al personal de la organización, que serainformado y entrenado para actuar como le haya sido encomendado.
  • 20. 4. Control de riesgos. Mecanismos de seguridad.Actividad 8libro pag. 23 (28, 30, 31) ¿Cual es la orientación principal de un plan de contingencias? ¿En que se basa la recuperación de la información? Tu jefe te pide que le hagas una buena política de copias de seguridad para que sea seguida por todos los trabajadores de la empresa. ¿Que debera contemplar?
  • 21. 5. Herramientas de análisis y gestión de riesgos. Auditoria.Es un análisis pormenorizado de un sistema de información que permitedescubrir, identificar y corregir vulnerabilidades en los activos y en losprocesos que se realizan.Su finalidad verificar que se cumplen los objetivos de la política deseguridad.Proporciona una imagen real y actual del estado de seguridad de unsistema de información.Puede ser total o parcial.Puede realizarse por personal de la propia empresa o por una empresaexterna especializada.
  • 22. 5. Herramientas de análisis y gestión de riesgos. Auditoria.Tras el análisis y la identificación de vulnerabilidades, se emite un informeque contiene:● Activos y procesos analizados (descripción y características)● Relaciones y dependencias entre activos● Relación y evaluación vulnerabilidades detectadas● Verificación cumplimiento normativa● Propuesta de medidas preventivas y de correcciónPara evaluar la seguridad se necesitan herramientas:● Manuales● Software CAAT
  • 23. 5. Herramientas de análisis y gestión de riesgos. Modelos de seguridad.Es la expresión formal de una política de seguridad. Se utiliza comodirectriz para evaluar sistemas de informaciónSegún las funciones u operaciones sobre las que ejerce mayor control sepueden clasificar en:● Matriz de acceso (según el sujeto)● Acceso basado en funciones de control (según la función que tiene el sujeto)● Multinivel (según la jerarquización de los datos)
  • 24. 4. Control de riesgos. Mecanismos de seguridad.Actividad 9libro pag. 23 - 24 (32, 33, 34, 35, 36)Trabajas en una empresa donde ademas de la oficina central, hay una red de oficinas porvarias ciudades. Se elabora un plan de contingencias exclusivamente para la oficina central,¿es esto correcto?En tu empresa se desarrolla un plan de contingencias que entre otras muchas situaciones,cubre las siguientes: un corte en la corriente eléctrica, el sol pasando a través de un cristal enpleno agosto, derramar una bebida en el teclado o sobre el monitor, olvidarse el portátil en untaxi, el robo del ordenador. ¿Crees que cubrir estos puntos es acertado?¿Una misma política de seguridad puede servir a todo tipo de empresas?¿De que modo debe ser redactada la política de seguridad de una organización?Define con tus propias palabras que es un plan de contingencias.
  • 25. 4. Control de riesgos. Mecanismos de seguridad.Actividad 10libro pag. 22 - 24 (24, 37, 38, 39)Investiga que es un test de intrusión.Investiga en Internet sobre empresas especializadas en auditorias de sistemas de información(Hispasec, Audisis). Escoge una de estas empresas y contesta:¿en que fases realiza la auditoria?¿que tipos de auditoria realiza?¿ofrece revisiones periódicas del sistema?Investiga en internet para encontrar el software de auditoria: CaseWare, Wizsoft, Ecora, ACL,AUDAP. Escoge uno o varios y haz una lista de las operaciones que realiza para llevar a cabola auditoria.Averigua que información tiene wikipedia sobre el modelo de seguridad Bell-LaPadula. Escribela definición que hace del modelo.
  • 26. 4. Control de riesgos. Mecanismos de seguridad.Actividad 9libro pag. 23 - 24 (32, 33, 34, 35, 36)Trabajas en una empresa donde ademas de la oficina central, hay una red de oficinas porvarias ciudades. Se elabora un plan de contingencias exclusivamente para la oficina central,¿es esto correcto?En tu empresa se desarrolla un plan de contingencias que entre otras muchas situaciones,cubre las siguientes: un corte en la corriente eléctrica, el sol pasando a través de un cristal enpleno agosto, derramar una bebida en el teclado o sobre el monitor, olvidarse el portátil en untaxi, el robo del ordenador. ¿Crees que cubrir estos puntos es acertado?¿Una misma política de seguridad puede servir a todo tipo de empresas?¿De que modo debe ser redactada la política de seguridad de una organización?Define con tus propias palabras que es un plan de contingencias.
  • 27. 4. Control de riesgos. Mecanismos de seguridad.Actividad 9libro pag. 23 - 24 (32, 33, 34, 35, 36)Trabajas en una empresa donde ademas de la oficina central, hay una red de oficinas porvarias ciudades. Se elabora un plan de contingencias exclusivamente para la oficina central,¿es esto correcto?En tu empresa se desarrolla un plan de contingencias que entre otras muchas situaciones,cubre las siguientes: un corte en la corriente eléctrica, el sol pasando a través de un cristal enpleno agosto, derramar una bebida en el teclado o sobre el monitor, olvidarse el portátil en untaxi, el robo del ordenador. ¿Crees que cubrir estos puntos es acertado?¿Una misma política de seguridad puede servir a todo tipo de empresas?¿De que modo debe ser redactada la política de seguridad de una organización?Define con tus propias palabras que es un plan de contingencias.
  • 28. Unidad 1. Introducción a la seguridad informáticaEn esta unidad has aprendido a: ● Distinguir entre sistema de información y sistema informático ● Comprender que significa seguridad en el concepto amplio y en el concreto. ● Conocer las propiedades de un sistema seguro ● Entender los conceptos de activo, amenaza, riesgo, vulnerabilidad, ataque e impacto. ● Entender lo que son servicios, mecanismos y herramientas de seguridad ● Tener la base necesaria para afrontar el conocimiento de la seguridad en sistemas informáticos