Conceptos y Pricipios de Gestion de Seguridad
-
Upload
afrodita6232 -
Category
Documents
-
view
219 -
download
0
Transcript of Conceptos y Pricipios de Gestion de Seguridad
-
8/6/2019 Conceptos y Pricipios de Gestion de Seguridad
1/25
Conceptos y Pricipios de
Gestion de Seguridad
Certificacin como profesional en
seguridad de sistemas de informacinCISSP (certified information systems
security profesional)
Preparado por : Leonardo Bogot GmezBogot, 17 de Marzo de 2003
-
8/6/2019 Conceptos y Pricipios de Gestion de Seguridad
2/25
CISSP
Certified information systems security profesional
Conceptos y Pricipios de Gestion
de SeguridadObjetivo:
Examinar el dominio de InfoSec en manejo de seguridad, el
cual incorpora la identificacin de datos de seguridad en laimplementacin de polticas, stndares, guias y
procedimientos.
-
8/6/2019 Conceptos y Pricipios de Gestion de Seguridad
3/25
Conceptos y Pricipios de Gestion
de Seguridad
Confidentiality
Integrity
Availability Privacy
Authorization
Identification
Authentication
Accountability Non-repudiation
Documentation
Audit
CIA Triad Confidentiality, Integrity, & Availability.
-
8/6/2019 Conceptos y Pricipios de Gestion de Seguridad
4/25
Protection Mechanisms Layering
Abstraction
Data hiding
Encryption
Change Control/Management Hardware Configuration
System & Application Software
Change Control Process - Applying to introduce a change Cataloging the intended change
Scheduling the change
Implementing the change
Reporting the change to appropriate parties
Conceptos y Pricipios de Gestion
de Seguridad
-
8/6/2019 Conceptos y Pricipios de Gestion de Seguridad
5/25
Conceptos y Pricipios de Gestion de Seguridad
Confidencialidad (Confidentiality)Los recursos slo podrn ser utilizados por las entidades
autorizadas.La informacin slo ser consultada por usuariosautorizados.Intenta prevenir la divulgacin no autorizada en forma intencional o no
intencional del contenido de mensajes. La perdida de confidencialidadpuede ocurrir de muchas formas.
Previene el uso no autorizado o divulgacin de informacin, lainformacin es accesada solo por personal autorizado para accesarla,privacidad es un concepto muy cercano que es a menudo asociadocon datos personales. Varias leyes en internacionales y americanasprotegen la privacidad (confidencialidad) de datos personales.Proteccin de las comunicaciones o los datos almacenados contra su
interceptacin y lectura por parte de personas no autorizadas.La confidencialidad es necesaria para la transmisin de datos
sensibles y es uno de los requisitos principales a la hora de darrespuesta a las inquietudes en materia de privacidad de los usuariosde las redes de comunicacin.
-
8/6/2019 Conceptos y Pricipios de Gestion de Seguridad
6/25
Confidencialidad (Confidentiality)
Es preciso tener en cuenta todos los factores que puedenamenazar la privacidad y no solamente los intencionados. Desdeel punto de vista de los usuarios, los peligros derivados de losincidentes del entorno o de errores humanos que alteren la red
pueden ser tan costosos como los ataques intencionados.
La seguridad de las redes y la informacin puedeentenderse como la capacidad de las redes o de lossistemas de informacin para resistir, con undeterminado nivel de confianza, todos los accidenteso acciones malintencionadas, que pongan en peligro
la disponibilidad, autenticidad, integridad yconfidencialidad de los datos almacenados otransmitidos y de los correspondientes servicios quedichas redes y sistemas ofrecen o hacen accesibles.
-
8/6/2019 Conceptos y Pricipios de Gestion de Seguridad
7/25
Conceptos y Pricipios de Gestion de Seguridad
Integridad (Integrity) S
lo las entidades autorizadas podrn modificar los recursos del sistema, Ningnusuario no-autorizado podr modificar la informacin. Salvaguarda la completitud de la informacin y mtodos de procesamiento
asegurando que: Modificaciones a datos no son hechos por usuarios o procesos no autorizados. Modificaciones no autorizadas a datos no son hechos por usuarios o procesos
autorizados. Los datos son interna y externamente consistentes; del tal forma que losprocedimientos son llevados a la entrada, una entrada expectante.
Asegura que usuarios autorizados tienen confianza y acceso oportuno ainformacin y disponibilidad cuando requiera.
Confirmacin de que los datos que han sido enviados, recibidos o almacenados enforma completa y no han sido modificados.
La integridad es especialmente importante en relacin con la autenticacin para laconclusin de contratos o en los casos en los que la exactitud de los datos escrtica.
-
8/6/2019 Conceptos y Pricipios de Gestion de Seguridad
8/25
Disponibilidad (Availability)
Los recursos debern estar listos para utilizarse porlas entidades autorizadas, La informacin y las
aplicaciones deben estar disponibles a todos losusuarios autorizados. Los datos son accesibles, inclusive en casos de
alteraciones (cortes de corriente, catstrofesnaturales, accidentes o ataques). Esta caracterstica
es particularmente importante cuando una avera de lared puede provocar interrupciones o reacciones encadena que afecten las operaciones de la empresa.
Conceptos y Pricipios de Gestion de Seguridad
-
8/6/2019 Conceptos y Pricipios de Gestion de Seguridad
9/25
Conceptos y Pricipios de Gestion de Seguridad
Privacidad(Privacy)
Nivel de confidencialidad y proteccin a laprivacidad del usuario, que d el sistema. ste es
frecuentemente un componente importante en loscontroles de seguridad. Privacidad no slogarantiza el principio fundamental deconfidencialidad de los datos, tambin garantiza el
nivel de privacidad de los datos que estn siendousados por el operador.
-
8/6/2019 Conceptos y Pricipios de Gestion de Seguridad
10/25
Conceptos y Pricipios de Gestion de Seguridad
Autorizacin
(Authorization)
(que puede usted hacer)
Derechos y permisos concedidos a una cuenta deusuario o proceso, el cual luego es autenticado, laautorizacin determina que puede hacer unusuario en un sistema o recurso.
-
8/6/2019 Conceptos y Pricipios de Gestion de Seguridad
11/25
Conceptos y Pricipios de Gestion de Seguridad
Autenticacin (Authentication)
(quien puede ingresar)
Proceso de nivel dos, identificacin y autenticacin,
mediante el cual se verifica la identidad de un usuario. La
tcnica ms comn es la combinacin username/password
(identificacin / autenticacin).
Confirmacin de la identidad declarada de usuarios. Son
necesarios mtodos de autenticacin adecuados para
muchos servicios y aplicaciones, como la conclusin de uncontrato en lnea, el control del acceso a determinados
servicios y datos, la autenticacin de los sitios web, etc.
-
8/6/2019 Conceptos y Pricipios de Gestion de Seguridad
12/25
Conceptos y Pricipios de Gestion de Seguridad
Identificacin y autenticacin( Identification and Authentication)
el usuario es quien dice ser
La identificacin es el acto de establecer claramente la identidad deun usuario en el sistema.
Es el testimonio o evidencia de la verificacin de la identificacin de
un usuario en el sistema. La identificacin es un componente normalmente mecanismo ysimple, basado en el nombre del usuario, en el caso de sistemas oprocesos se basa en el nombre del computador, direccin MAC,direccin IP o identificacin de proceso (ID process).
Un requerimiento bsico es la identificacin del usuario sea nica,
las cuentas compartidas de root, admin., or system son riesgosas.Tales cuentas no pueden proveer un adecuada contabilidad y sonlos objetivos principales de los hacker.
-
8/6/2019 Conceptos y Pricipios de Gestion de Seguridad
13/25
Conceptos y Pricipios de Gestion de Seguridad
Contabilidad (Accountability)(que hizo)
Capacidad para asociar usuarios y procesos con las
acciones ejecutadas por estos. Los rastros deauditoria y el diario del sistema son componentes de lacontabilidad. Un importante concepto de seguridadque tiene una relacin muy cercana con la contabilidad
es la no repudiacin.
-
8/6/2019 Conceptos y Pricipios de Gestion de Seguridad
14/25
Conceptos y Pricipios de Gestion de Seguridad
No repudiacin
(Non-repudiation)
Un usuario no puede negar una accin que
fue identificado y asociado positivamente consus acciones.Un usuario no puede sustraerse de susacciones y responsabilidades derivadas de las
mismas.
-
8/6/2019 Conceptos y Pricipios de Gestion de Seguridad
15/25
Auditabilidad (Audit)
Capacidad de contar con mdulos que lleven un registroauditable de toda la actividad realizada. Se debeconsiderar e implementar las facilidades necesarias paraque las entidades reguladoras puedan tener acceso gil yfcil a toda la informacin requerida, de manera que stas
puedan cumplir con sus responsabilidades.
-
8/6/2019 Conceptos y Pricipios de Gestion de Seguridad
16/25
Conceptos y Pricipios de Gestion de Seguridad
La seguridad se basa en 3 criterios fundamentales(CIA: Confidentiality-Integrity-Availability):
Es un proceso evolutivo. En seguridad informtica los tres criterios
(CIA) son fundamentales para el estudio delos dems dominios.
Lo opuesto a CIA es DAD (Divulgacin,Alteracin y Destruccin).
CIA Triad
-
8/6/2019 Conceptos y Pricipios de Gestion de Seguridad
17/25
Conceptos y Pricipios de Gestion de Seguridad
Mecanismos de proteccin
Colocar capas (Layering)Es el proceso de recubrir o adicionar capas a los datos a finde brindar mayor seguridad en la transmisin de informacin.
Abstraccin (Abstraction)Proceso de revisin de una aplicacin desde la funcin de nivelms altos haciendo abstracciones de las funciones de bajonivel.
Dato oculto (Data hiding)Termino orientado a objetos, hace referencia a la practica
de encapsulacin un objetos en forma desordenada, paraocultar los detalles de funcionamiento del primer objeto.
-
8/6/2019 Conceptos y Pricipios de Gestion de Seguridad
18/25
Conceptos y Pricipios de Gestion de Seguridad
Mecanismos de proteccinEncripcin (Encryption)
Rama inicial de las Matemticas y en la actualidad de laInformtica y la Telemtica, que hace uso de mtodos y
tcnicas con el objeto principal de cifrar un mensaje oarchivo por medio de un algoritmo, usando una o msclaves. Esto da lugar a diferentes tipos de criptosistemas quepermiten asegurar cuatro aspectos fundamentales de laseguridad informtica: confidencialidad, integridad,
disponibilidad y no repudio de emisor y receptor
-
8/6/2019 Conceptos y Pricipios de Gestion de Seguridad
19/25
Conceptos y Pricipios de Gestion de Seguridad
Gestin de control de cambios
Qu busca proteger?
Datos acceso no autorizado, modificacin o
copia. Sistema Uso no autorizado, modificacin o
denegacin del servicio.
Debe tenerse en cuenta que casi cada sistema
operativo de la red (NT, Unix, Vines, NetWare)est basado en una infraestructura fsicasegura.
-
8/6/2019 Conceptos y Pricipios de Gestion de Seguridad
20/25
Administracin de cambios
Satisface los requerimientos de negocio
de:
minimizar la probabilidad de interrupciones,
alteraciones no autorizadas y errores.se hace posible a travs de:
un sistema de administracin que permita el
anlisis, implementacin y seguimiento de
todos los cambios requeridos y llevados a
cabo a la infraestructura de Tecnologa de
Informacin actual
-
8/6/2019 Conceptos y Pricipios de Gestion de Seguridad
21/25
Aspectos a tener encuenta
identificacin de cambios
yprocedimientos de categorizacin,
priorizacin y definicin de emergencias.
yevaluacin del impacto.
yautorizacin de cambios.
ymanejo de liberacin o puesta en produccin.
ydistribucin de software
-
8/6/2019 Conceptos y Pricipios de Gestion de Seguridad
22/25
OBJETIVOS DE CONTROL
Inicio y Control de Requisiciones de Cambio
Se debe asegurar que todas las requisiciones de
cambios tanto internos como externos (proveedores)
estn estandarizados y sujetos a procedimientos
formales de administracin de cambios.
Las solicitudes debern categorizarse, priorizarse y
establecerse procedimientos especficos para manejar
asuntos urgentes.
Los solicitantes de cambios deben permanecer
informados acerca del estatus de su solicitud.
-
8/6/2019 Conceptos y Pricipios de Gestion de Seguridad
23/25
OBJETIVOS DE CONTROL
Control de Cambios
S
e debe asegurar que la administracin decambios, as como el control y ladistribucin de software sean integradosapropiadamente en un sistema completo de
administracin de configuracin.
-
8/6/2019 Conceptos y Pricipios de Gestion de Seguridad
24/25
OBJETIVOS DE CONTROL
Documentacin y Procedimientos
El procedimiento de cambiosdeber asegurar que, siempre quese implementen modificaciones a
un sistema, la documentacin yprocedimientos relacionados seanactualizados de manera adecuada.
-
8/6/2019 Conceptos y Pricipios de Gestion de Seguridad
25/25
OBJETIVOS DE CONTROL
Distribucin de SoftwareSe debe garantizar que la liberacin desoftware est acorde con procedimientosformales, los cuales incluyan aprobacin,
pruebas de regresin, entrega,homologaci, verificacin,etc.
Debern establecerse medidas de controlespecficas para asegurar la distribucindel elemento de software correcto al lugarcorrecto, con integridad y de maneraoportuna con pistas de auditoraadecuadas.