Criptoy sr son06

839 views

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
839
On SlideShare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
28
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Criptoy sr son06

  1. 1. Criptografía y Seguridad en Redes Leobardo Hernández Laboratorio de Seguridad Informática Centro Tecnológico Aragón, UNAM VI Simposium Internacional de Computación, Sonora, Nov. 2006
  2. 2. Agenda <ul><li>Informaci ó n y sus estados </li></ul><ul><li>Propiedades de Seguridad de la Informaci ó n </li></ul><ul><li>Servicios y Mecanismos de Seguridad </li></ul><ul><li>Criptología </li></ul><ul><ul><li>Criptografía </li></ul></ul><ul><ul><li>Criptoanálisis </li></ul></ul><ul><ul><li>Esteganografía </li></ul></ul><ul><li>Seguridad en Redes </li></ul><ul><li>Herramientas para Seguridad en Redes </li></ul><ul><li>Comentarios y Conclusiones </li></ul>VI Simposium Internacional de Computación, Sonora, Nov. 2006
  3. 3. Información y sus estados <ul><li>La información actual es digital </li></ul><ul><li>Su manejo implica considerar estados: </li></ul><ul><ul><li>Adquisición </li></ul></ul><ul><ul><li>Creación </li></ul></ul><ul><ul><li>Almacenamiento </li></ul></ul><ul><ul><li>Proceso (transformación, análisis, etc.) </li></ul></ul><ul><ul><li>Transmisión </li></ul></ul>VI Simposium Internacional de Computación, Sonora, Nov. 2006
  4. 4. Problemas en manejo de Información <ul><li>Confiabilidad de las fuentes y de la información misma </li></ul><ul><li>Integridad (verificación) </li></ul><ul><li>Confidencialidad </li></ul><ul><li>Disponibilidad </li></ul><ul><li>Control de Acceso </li></ul><ul><li>Autenticación de las partes </li></ul><ul><li>No repudio </li></ul>VI Simposium Internacional de Computación, Sonora, Nov. 2006
  5. 5. Más Problemas <ul><li>El canal es público </li></ul><ul><li>Uso canales seguros nada fácil, práctico, ni barato </li></ul><ul><li>Las fuentes pueden no ser compatibles ni confiables </li></ul><ul><li>Los sistemas de análisis y toma de decisiones asumen lo contrario </li></ul><ul><li>Los resultados y reportes pueden ser equivocados </li></ul><ul><li>Las decisiones se toman a partir de esos resultados </li></ul>VI Simposium Internacional de Computación, Sonora, Nov. 2006
  6. 6. Más Problemas <ul><li>Información más valiosa que el dinero </li></ul><ul><li>Hay que protegerla </li></ul><ul><ul><li>No solo en almacenamiento y proceso </li></ul></ul><ul><ul><li>También durante la transmisión </li></ul></ul><ul><li>Formas almacenamiento y proceso: dispositivos digitales </li></ul><ul><li>Formas de transmisión: redes y sistemas distribuidos </li></ul>VI Simposium Internacional de Computación, Sonora, Nov. 2006
  7. 7. Más Problemas <ul><li>Expuesta a ataques de todo tipo </li></ul><ul><li>Nada fácil crear un modelo para estudiar la seguridad </li></ul><ul><ul><li>Redes heterogéneas de todos los tipos </li></ul></ul><ul><ul><li>Plataformas, medios, SO’s, arquitecturas distintas </li></ul></ul><ul><ul><li>La pesadilla: Internet </li></ul></ul><ul><li>Que hacer?? </li></ul>VI Simposium Internacional de Computación, Sonora, Nov. 2006
  8. 8. Seguridad de la Informacion <ul><li>Técnicas, procedimientos, políticas y herramientas para proteger y resguardar información en medios y dispositivos electrónicos </li></ul><ul><li>Proteger la información almacenada en los equipos y la que se transfiere e intercambia por canales públicos </li></ul>VI Simposium Internacional de Computación, Sonora, Nov. 2006
  9. 9. Seguridad de la Informacion <ul><li>Proteger informacion de amenazas, ataques y vulnerabilidades reales y potenciales </li></ul><ul><li>Garantizar propiedades de información en todos sus estados: creación, modificación, transmisión y almacenamiento </li></ul><ul><li>Implementar servicios de seguridad usando mecanismos útiles y eficientes </li></ul>VI Simposium Internacional de Computación, Sonora, Nov. 2006
  10. 10. Servicios y Mecanismos de Seguridad <ul><li>Naturaleza pública del canal no se puede cambiar </li></ul><ul><li>Sobre ese canal hay que saber qué se quiere : </li></ul><ul><ul><li>Servicios de Seguridad </li></ul></ul><ul><li>Sobre ese canal hay que saber cómo se implementa (si se puede): </li></ul><ul><ul><li>Mecanismos de seguridad </li></ul></ul>VI Simposium Internacional de Computación, Sonora, Nov. 2006
  11. 11. Servicios y Mecanismos de Seguridad <ul><li>Servicios Mecanismos </li></ul><ul><ul><li>Confidencialidad Cifrado </li></ul></ul><ul><ul><li>Integridad Funciones Hash </li></ul></ul><ul><ul><li>Autenticación Protocolos Criptográfico </li></ul></ul><ul><ul><li>Control de Acceso Esquemas de CA </li></ul></ul><ul><ul><li>No Repudio Firma Digital </li></ul></ul><ul><ul><li>Disponibilidad No se puede !! </li></ul></ul>VI Simposium Internacional de Computación, Sonora, Nov. 2006
  12. 12. Seguridad Informática <ul><li>Se deben implementar los 5 primeros servicios para disminuir el riesgo de sufrir indisponibilidad </li></ul><ul><li>Los 5 primeros servicios se estandarizan en el ISO 7498-2 </li></ul><ul><li>El Triángulo de Oro de la Seguridad incluye: </li></ul><ul><ul><li>Confidencialidad </li></ul></ul><ul><ul><li>Integridad </li></ul></ul><ul><ul><li>Disponibilidad </li></ul></ul>VI Simposium Internacional de Computación, Sonora, Nov. 2006
  13. 13. Criptografía y Seguridad <ul><li>4 de los 5 servicios estandarizados se implementan usando Criptografía : </li></ul><ul><ul><li>Confidencialidad </li></ul></ul><ul><ul><li>Integridad (Verificación) </li></ul></ul><ul><ul><li>Autenticación </li></ul></ul><ul><ul><li>No Repudio </li></ul></ul><ul><li>No se puede hablar de Seguridad sin hablar de Criptografía </li></ul>VI Simposium Internacional de Computación, Sonora, Nov. 2006
  14. 14. Criptología <ul><li>Criptología se divide en: </li></ul><ul><ul><li>Criptografía </li></ul></ul><ul><ul><li>Criptoanálisis </li></ul></ul><ul><ul><li>Esteganografía </li></ul></ul><ul><li>Criptografía : oculta información aplicando al mensaje M , una transformación (algoritmo) F, usando una llave K y produce el texto cifrado C </li></ul><ul><ul><ul><ul><ul><li>F k (M) = C </li></ul></ul></ul></ul></ul>VI Simposium Internacional de Computación, Sonora, Nov. 2006
  15. 15. Criptografía <ul><li>Algoritmo F debe ser público </li></ul><ul><li>Seguridad debe basarse en: </li></ul><ul><ul><li>Diseño y fortaleza de F </li></ul></ul><ul><ul><li>Mantener K en secreto </li></ul></ul><ul><li>Algoritmo F integra 2 procesos: </li></ul><ul><ul><ul><ul><ul><li>Cifrado: F k (M) = C </li></ul></ul></ul></ul></ul><ul><ul><ul><ul><ul><li>Descifrado: F’ k (C) = M </li></ul></ul></ul></ul></ul>VI Simposium Internacional de Computación, Sonora, Nov. 2006
  16. 16. Criptografía <ul><li>Algoritmos usan diferentes bases de diseño: </li></ul><ul><ul><li>Operaciones elementales </li></ul></ul><ul><ul><ul><li>Sustituciones (César, Vigenere, Vernam, etc.) </li></ul></ul></ul><ul><ul><ul><li>Permutaciones </li></ul></ul></ul><ul><ul><ul><li>Combinación de ambas (DES, AES, etc.) </li></ul></ul></ul><ul><ul><li>Matemáticas </li></ul></ul><ul><ul><ul><li>Teoría de Números (RSA, ElGamal, DSS, etc.) </li></ul></ul></ul><ul><ul><ul><li>Problemas NP y NP Completos </li></ul></ul></ul><ul><ul><ul><li>Curvas Elípticas (ECC) </li></ul></ul></ul><ul><ul><li>Fisica Cuántica </li></ul></ul><ul><ul><ul><li>Mecanica Cuántica </li></ul></ul></ul><ul><ul><ul><li>Principio de Incertidumbre de Heinsenberg </li></ul></ul></ul><ul><ul><li>Otras </li></ul></ul>VI Simposium Internacional de Computación, Sonora, Nov. 2006
  17. 17. Criptografía <ul><li>Algoritmos pueden ser: </li></ul><ul><ul><li>Simétricos o de Llave Secreta </li></ul></ul><ul><ul><ul><li>Usan misma llave para cifrar y descifrar </li></ul></ul></ul><ul><ul><li>Asimétricos o de Llave Pública </li></ul></ul><ul><ul><ul><li>La llave que cifra es diferente a la que descifra </li></ul></ul></ul><ul><ul><li>Funciones Hash, Resumen o Compendio </li></ul></ul><ul><ul><ul><li>No usan llave </li></ul></ul></ul>VI Simposium Internacional de Computación, Sonora, Nov. 2006
  18. 18. Criptografía <ul><li>También pueden ser por: </li></ul><ul><ul><li>Bloque </li></ul></ul><ul><ul><ul><li>El mensaje se procesa en bloques del mismo tamaño </li></ul></ul></ul><ul><ul><li>Flujo </li></ul></ul><ul><ul><ul><li>El mensaje se procesa como un todo por unidad básica </li></ul></ul></ul>VI Simposium Internacional de Computación, Sonora, Nov. 2006
  19. 19. Criptografía <ul><li>Algoritmos Simétricos o de Llave Secreta </li></ul><ul><ul><li>DES (anterior estándar mundial) </li></ul></ul><ul><ul><li>AES (Nuevo estándar mundial) </li></ul></ul><ul><ul><li>3DES </li></ul></ul><ul><li>Algoritmos Asimétricos o de Llave Pública </li></ul><ul><ul><li>RSA (Estándar de facto) </li></ul></ul><ul><ul><li>ElGamal </li></ul></ul><ul><ul><li>DSS (Digital Signature Standard) </li></ul></ul><ul><li>Algoritmos Hash </li></ul><ul><ul><li>MD5 </li></ul></ul><ul><ul><li>SHA-1 </li></ul></ul>VI Simposium Internacional de Computación, Sonora, Nov. 2006
  20. 20. Criptografía <ul><li>Algoritmos Simétricos </li></ul><ul><ul><li>Basan su diseño en operaciones elementales </li></ul></ul><ul><ul><li>Buscan eficiencia </li></ul></ul><ul><ul><li>Seguridad depende del tiempo y los recursos de cómputo </li></ul></ul><ul><li>Aplicaciones de Criptografia Simétrica </li></ul><ul><ul><li>Cifrado de información no clasificada (Confidencialidad) </li></ul></ul><ul><ul><li>Verificación de Integridad </li></ul></ul><ul><ul><li>Autenticación </li></ul></ul>VI Simposium Internacional de Computación, Sonora, Nov. 2006
  21. 21. Criptografía <ul><li>Algoritmos Asimétricos </li></ul><ul><ul><li>Diseño basado en problemas matemáticos </li></ul></ul><ul><ul><li>Seguros computacionalmente </li></ul></ul><ul><ul><li>Seguridad no depende de tiempo ni de recursos de cómputo </li></ul></ul><ul><ul><li>Pero...son ineficientes </li></ul></ul><ul><li>Aplicaciones de Criptografia Asimétrica </li></ul><ul><ul><li>Cifrado de informacion clasificada (Confidencialidad) </li></ul></ul><ul><ul><li>Acuerdo de llave simétrica </li></ul></ul><ul><ul><li>Firma Digital (Autenticación y No Repudio) </li></ul></ul>VI Simposium Internacional de Computación, Sonora, Nov. 2006
  22. 22. Criptografía <ul><li>Algoritmos Hash </li></ul><ul><ul><li>Diseño basado en operaciones elementales </li></ul></ul><ul><ul><li>Son eficientes </li></ul></ul><ul><ul><li>Seguridad depende del tiempo y recursos de cómputo </li></ul></ul><ul><ul><li>Proporcionan una huella digital del mensaje </li></ul></ul><ul><li>Aplicaciones de Algoritmos Hash </li></ul><ul><ul><li>Verificación de Integridad </li></ul></ul><ul><ul><li>Autenticación </li></ul></ul><ul><ul><li>Demostrar posesión de secretos sin revelar el secreto </li></ul></ul><ul><ul><li>Virología </li></ul></ul>VI Simposium Internacional de Computación, Sonora, Nov. 2006
  23. 23. Aplicaciones de Criptografía <ul><li>Actualmente se usan de forma híbrida </li></ul><ul><ul><li>Simétricos: eficientes </li></ul></ul><ul><ul><li>Asimétricos: seguros computacionalmente </li></ul></ul><ul><ul><li>Hash: eficientes y proporcionan huella digital </li></ul></ul><ul><ul><li>Se usan asimétricos para acordar llave simétrica </li></ul></ul><ul><ul><li>Acordada la llave simétrica, se usa un algoritmo simétrico para cifrar la información </li></ul></ul><ul><ul><li>Ejemplo: PGP, SSH, etc. </li></ul></ul>VI Simposium Internacional de Computación, Sonora, Nov. 2006
  24. 24. Protocolos Criptográficos <ul><li>Criptografía por sí sola no sirve para nada </li></ul><ul><li>Protocolos: hilos mágicos que conectan Seguridad con Criptografía </li></ul><ul><li>Todas las herramientas que proporcionan servicios de seguridad implementan protocolos </li></ul><ul><ul><li>Ejemplo: PGP, SSH, SET, SSL, etc. </li></ul></ul>VI Simposium Internacional de Computación, Sonora, Nov. 2006
  25. 25. Seguridad en Redes <ul><li>A problemas sin resolver (por no haber soluciones definitivas, por no conocerse o por no implementarlas) de la seguridad en: </li></ul><ul><ul><li>Controles de Acceso </li></ul></ul><ul><ul><li>Bases de Datos </li></ul></ul><ul><ul><li>Redes </li></ul></ul><ul><ul><li>Sistemas Operativos </li></ul></ul><ul><ul><li>SPAM </li></ul></ul><ul><ul><li>Virus </li></ul></ul><ul><ul><li>Etc. </li></ul></ul>VI Simposium Internacional de Computación, Sonora, Nov. 2006
  26. 26. Seguridad en Redes <ul><li>Se agregan: cómputo móvil y wireless </li></ul><ul><li>El grado y nivel de riesgo de amenazas, ataques y vulnerabilidades crece: </li></ul><ul><ul><li>Internet, Web y sus aplicaciones y desarrollos </li></ul></ul><ul><ul><li>Tecnologías de código distribuible (Java, ActiveX) </li></ul></ul><ul><ul><li>Sistemas abiertos y bancos de información </li></ul></ul><ul><ul><li>Comercio electrónico </li></ul></ul><ul><ul><li>Votaciones electrónicas </li></ul></ul><ul><ul><li>Minería de datos y DWH </li></ul></ul><ul><ul><li>Manejo de imágenes y multimedia </li></ul></ul>VI Simposium Internacional de Computación, Sonora, Nov. 2006
  27. 27. Seguridad en Redes <ul><li>El canal es público </li></ul><ul><ul><li>Usar canales cifrados. Ejemplo: SecureSHell </li></ul></ul><ul><ul><li>Cifrar toda informaci ó n que se intercambia. Ejemplo: usar Pretty Good Privacy (PGP) </li></ul></ul><ul><ul><li>Usar sistemas de correo seguro (cifrado). Ejemplos: PGP, PEM, S/MIME </li></ul></ul><ul><ul><li>Monitorear la red. Ejemplo: ntop y EtheReal </li></ul></ul><ul><ul><li>Detectar intentos de intrusión. Ejemplo: usar IDS’s como Snort o alguno comercial de ISS </li></ul></ul><ul><ul><li>Usar mismas armas que los atacantes para defensa. Ejemplos: sniffers como EtheReal y crackers como John the Ripper </li></ul></ul>VI Simposium Internacional de Computación, Sonora, Nov. 2006
  28. 28. Seguridad en Redes <ul><li>No se sabe la identidad del que envía o recibe </li></ul><ul><ul><li>Usar esquemas de firma y certificados digitales Ejemplo: PGP </li></ul></ul><ul><ul><li>Usar protocolos fuertes de autenticación como IKE </li></ul></ul><ul><li>No se sabe qué información entra y sale </li></ul><ul><ul><li>Usar filtros de contenido </li></ul></ul><ul><li>No se sabe de donde viene y a donde van los accesos </li></ul><ul><ul><li>Usar filtros por IP, aplicaci ó n, etc. Ejemplo: usar Firewalls como IPTable o IPChains, ChekPoint, etc. </li></ul></ul>VI Simposium Internacional de Computación, Sonora, Nov. 2006
  29. 29. Seguridad en Redes <ul><li>No se sabe si lo que se recibe es lo que se envió </li></ul><ul><ul><li>Usar esquemas para verificar integridad. Ejemplo: PGP </li></ul></ul><ul><ul><li>Usar protocolos que implementen c ó digos MIC/MAC usando funciones hash o cifrado sim é trico </li></ul></ul><ul><li>No se sabe si la red y sus recursos se están utilizando como y para lo que se debe </li></ul><ul><ul><li>Implantar politicas de uso (ISO 17799 y 27001) </li></ul></ul><ul><ul><li>Monitoreo y autoataque (ntop, Ethereal, John the Ripper) </li></ul></ul><ul><li>No se sabe por donde me están atacando y que debilidades tiene mi red </li></ul><ul><ul><li>Usar analizadores de vulnerabilidades. Ejemplo: Nessus </li></ul></ul>VI Simposium Internacional de Computación, Sonora, Nov. 2006
  30. 30. Seguridad en Redes <ul><li>Ya sé por donde, pero no se qué hacer para proteger mi red </li></ul><ul><ul><li>Actualizar software de sistemas y aplicaciones </li></ul></ul><ul><ul><li>Instalar todos los parches de seguridad </li></ul></ul><ul><ul><li>Cerrar puertos y aplicaciones no necesarios. Prohibir modems </li></ul></ul><ul><ul><li>Informarse diario sobre nuevos ataques y vulnerabilidades e instalar los parches correspondientes </li></ul></ul><ul><li>Ya estamos hartos del SPAM </li></ul><ul><ul><li>Filtrado de contenidos y Firewalls </li></ul></ul><ul><ul><li>Restringir tráfico de entrada y salida por IP, subject, idioma, etc. </li></ul></ul>VI Simposium Internacional de Computación, Sonora, Nov. 2006
  31. 31. Seguridad en Redes <ul><li>Ya no soportamos al proveedor de antivirus </li></ul><ul><ul><li>Usar un antivirus libre y realizar sus propias actualizaciones </li></ul></ul><ul><li>La instalación de software es incontrolable </li></ul><ul><ul><li>Prohibir instalar cualquier software y nombrar único responsable autorizado para ello </li></ul></ul><ul><ul><li>Políticas de seguridad </li></ul></ul><ul><li>No sé cómo empezar </li></ul><ul><ul><li>Empiece a estudiar </li></ul></ul><ul><ul><li>Visite los sitios especializados </li></ul></ul>VI Simposium Internacional de Computación, Sonora, Nov. 2006
  32. 32. Aspectos que se deben considerar <ul><li>Hay que tener Politicas de Seguridad </li></ul><ul><li>Planes de Recuperacion y Continuidad en caso de Desastre (DRP y BCP) </li></ul><ul><li>Sitios Alternos para funcionar y Respaldos de Informacion </li></ul><ul><li>Sistemas de Detección de Intrusos </li></ul><ul><li>Análisis de bitácoras </li></ul><ul><li>Monitoreo y análisis de actividades de usuarios para limitar privilegios </li></ul><ul><li>Reconocimiento de ataques a la red. Frecuencia y origen de los ataques </li></ul><ul><li>Registro de Consulta de páginas Internet y comunicaciones e-mail con personas desconocidas </li></ul><ul><li>Monitoreo de tráfico de la red </li></ul><ul><li>Verificación de Integridad de Archivos y Bases de Datos </li></ul><ul><li>Auditorías a la configuración del sistema </li></ul><ul><li>Monitoreo de Recursos Humanos que tienen acceso a información sensible (selección, reclutamiento y sistemas de desarrollo del personal) </li></ul><ul><li>Sistemas de Control de Confianza </li></ul>VI Simposium Internacional de Computación, Sonora, Nov. 2006
  33. 33. <ul><li>Aplicaciones Criptográficas </li></ul><ul><li>SSH (Secure SHell) http://www.ssh.com/support/downloads/ </li></ul><ul><li>OpenSSL: http://www.openssl.org/source/ </li></ul><ul><li>PGP: http://www.pgp.com/downloads/index.html </li></ul><ul><li>GPG: http://www.gnupg.org </li></ul><ul><li>Correo Electrónico Seguro </li></ul><ul><li>S/MIME: http://www.ietf.org/html.charters/smime-charter.html </li></ul><ul><li>PGP: http://www.pgp.com/downloads/index.html </li></ul>
  34. 34. <ul><li>PKI (Public Key Infrastucture) </li></ul><ul><li>Verisign: http://www.verisign.com/products-services/security-services/pki/index.html </li></ul><ul><li>OpenCA: http://www.openca.org/ </li></ul><ul><li>Autoridades Certificadoras </li></ul><ul><li>Verisign: http://www.verisign.com/ </li></ul><ul><li>Entrust: http://www.entrust.com / </li></ul>
  35. 35. <ul><li>IDS (Intrusion Detection System) </li></ul><ul><li>Snort: http://www.snort.org </li></ul><ul><li>Real Secure (ISS): http://www.iss.net/latam/spanish/products_service/enterprise_protection/index.php </li></ul><ul><li>Cisco: http://www.cisco.com/en/US/products/sw/secursw/ps2113/index.html </li></ul><ul><li>Firewalls </li></ul><ul><li>http://www.checkpoint.com/ </li></ul><ul><li>http://www.cisco.com/en/US/products/hw/vpndevc/index.html </li></ul><ul><li>http://www.watchguard.com/ </li></ul><ul><li>http://europe.nokia.com/nokia/0,,76737,00.html </li></ul>
  36. 36. <ul><li>Monitores de Red </li></ul><ul><li>Ntop (Network Top) http://www.ntop.org </li></ul><ul><li>Nagios http://www.nagios.org </li></ul><ul><li>Sniffers </li></ul><ul><li>TCPDump http://www.tcpdump.org/ </li></ul><ul><li>Ethereal http://www.ethereal.com </li></ul><ul><li>Windump http://www.winpcap.org/windump/ </li></ul><ul><li>Etthercap http://ettercap.sourceforge.net/ </li></ul>
  37. 37. <ul><li>Analizadores de Vulnerabilidades </li></ul><ul><li>Nessus http://www.nessus.org </li></ul><ul><li>LANGUARD http://www.gfi.com/languard/ </li></ul><ul><li>Internet Scanner (ISS) htttp://www.iss.net/products_services/enterprise_protection/vulnerability_assessment/scanner_internet.php </li></ul><ul><li>Passwords Crackers </li></ul><ul><li>John de Ripper http://www.openwall.com/john/ </li></ul>
  38. 38. <ul><li>ISO/IEC 17799-2005 http://www.iso.org/iso/en/prods-services/popstds/informationsecurity.html </li></ul><ul><li>ISO/IEC 27001 </li></ul><ul><li>http://www.bsi-global.com/News/Releases/2005/November/n4368cedc60947.xalter </li></ul><ul><li>Sarbanes Oxley http://www.s-ox.com/ </li></ul>
  39. 39. <ul><li>ANTIVIRUS </li></ul><ul><li>AVAST (libre) </li></ul><ul><li>http://www.avast.com/eng/free_virus_protectio.html </li></ul><ul><li>CLAM WIN (libre) http://www.clamwin.com/ </li></ul><ul><li>SYMANTEC http://www.symantec.com/index.htm </li></ul><ul><li>MCAFFE http://www.mcafee.com/es/ </li></ul><ul><li>PANDA http://www.pandasoftware.com </li></ul><ul><li>AVG http://www.grisoft.com/doc/1 </li></ul>
  40. 40. Recursos de Seguridad <ul><li>www.nsa.gov </li></ul><ul><li>www.nist.gov </li></ul><ul><li>www.cert.org </li></ul><ul><li>www.securityfocus.org </li></ul><ul><li>www.packetstorm.org </li></ul><ul><li>www.sans.org </li></ul>VI Simposium Internacional de Computación, Sonora, Nov. 2006
  41. 41. Comentarios y Conclusiones <ul><li>Hay que empezar a preocuparse y ocuparse del problema </li></ul><ul><li>Ejemplos en que nunca hubo ya necesidad: cuando ocurrió, no hubo nunca más que hacer porque había desaparecido todo </li></ul><ul><ul><li>Biblioteca de Alejandría </li></ul></ul><ul><ul><li>11 Sept. 2001 </li></ul></ul><ul><li>A partir de 2001 el mundo cambió su visión, concepción y percepción de seguridad y su relación con las TI </li></ul><ul><ul><li>Replanteamiento total: Land Home Security </li></ul></ul><ul><ul><li>Seguridad Nacional </li></ul></ul><ul><ul><li>Estandarización global </li></ul></ul>VI Simposium Internacional de Computación, Sonora, Nov. 2006
  42. 42. Comentarios y Conclusiones <ul><li>Estándares Globales </li></ul><ul><ul><li>ISO 17799-2005 y 27001 </li></ul></ul><ul><ul><li>Ley Sarbanes Oxley (SOX) </li></ul></ul><ul><ul><li>BS 7799 </li></ul></ul><ul><li>Para empresas e instituciones, la seguridad ha dejado de ser un problema tecnológico para convertirse en ventaja competitiva </li></ul><ul><li>Toda empresa o institución que desee competir a nivel mundial tiene que cumplir esos estándares </li></ul>VI Simposium Internacional de Computación, Sonora, Nov. 2006
  43. 43. Comentarios y Conclusiones <ul><li>La seguridad puede verse ahora en 3 niveles de responsabilidad </li></ul><ul><ul><li>Directores y cuadros ejecutivos </li></ul></ul><ul><ul><li>Niveles técnicos y operativos </li></ul></ul><ul><ul><li>Usuarios </li></ul></ul><ul><li>Todos los niveles deben tener conciencia del problema </li></ul><ul><li>Todo gobierno actual se siente obligado a seguir las tendencias globales </li></ul><ul><ul><li>Muchos no están preparados (México) </li></ul></ul><ul><ul><li>Están empezando a prepararse </li></ul></ul>VI Simposium Internacional de Computación, Sonora, Nov. 2006
  44. 44. Comentarios y Conclusiones <ul><li>Tampoco las empresas están preparadas </li></ul><ul><ul><li>Empiezan a darse cuenta </li></ul></ul><ul><li>No es el mejor camino el que se sigue ahora para resolver el problema: </li></ul><ul><ul><li>Consultoría externa (cara y escasa): dependencia </li></ul></ul><ul><ul><li>Productos ¨milagro¨ generales (no resuelven nada) </li></ul></ul><ul><ul><li>Soluciones sobre la marcha (improvisación y arribismo) </li></ul></ul><ul><li>Hay que trabajar en educación en Seguridad </li></ul><ul><ul><li>Universidades </li></ul></ul>VI Simposium Internacional de Computación, Sonora, Nov. 2006
  45. 45. Seguridad y TI en la UNAM <ul><ul><li>Diplomado en Seguridad Informática </li></ul></ul><ul><ul><li>http://siberiano.aragon.unam.mx/diplomadoseguridad/juriquilla/ </li></ul></ul><ul><ul><li>http://siberiano.aragon.unam.mx/ </li></ul></ul><ul><ul><li>Diplomado en Tecnologías de Información </li></ul></ul><ul><ul><li>http://siberiano.aragon.unam.mx/dti/juriquilla/ </li></ul></ul><ul><ul><li>http://siberiano.aragon.unam.mx/dti/aragon/ </li></ul></ul><ul><ul><li>http://siberiano.aragon.unam.mx/dti/ </li></ul></ul><ul><ul><li>Laboratorio de Seguridad Informática, CTA </li></ul></ul><ul><ul><li>http://leopardo.aragon.unam.mx/labsec/ </li></ul></ul><ul><ul><li>Grupo de Seguridad de DGSCA </li></ul></ul>VI Simposium Internacional de Computación, Sonora, Nov. 2006
  46. 46. Gracias .............. <ul><li>Leobardo Hernández </li></ul><ul><li>Laboratorio de Seguridad Informática </li></ul><ul><li>Centro Tecnológico Aragón, UNAM </li></ul><ul><li>[email_address] </li></ul><ul><li>Tel. 01 55 56231070 </li></ul>VI Simposium Internacional de Computación, Sonora, Nov. 2006

×