La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Tema 3 Seguridad Física Curso de Seguridad Informática Material Docente de Libre Distribución Curso de Seguridad Informática © Jorge Ramió Aguirre Este.

Presentaciones similares


Presentación del tema: "Tema 3 Seguridad Física Curso de Seguridad Informática Material Docente de Libre Distribución Curso de Seguridad Informática © Jorge Ramió Aguirre Este."— Transcripción de la presentación:

1 Tema 3 Seguridad Física Curso de Seguridad Informática Material Docente de Libre Distribución Curso de Seguridad Informática © Jorge Ramió Aguirre Este archivo forma parte de un curso completo sobre Seguridad Informática y Criptografía. Se autoriza su uso, reproducción en computador e impresión en papel sólo para fines docentes, respetando siempre los derechos del autor. Ultima actualización: 10/02/02 Archivo con 39 diapositivas Dr. Jorge Ramió Aguirre Universidad Politécnica de Madrid

2 © Jorge Ramió Aguirre Madrid (España) 2002 Curso de Seguridad Informática. Tema 3: Seguridad Física.2 El contenido de este archivo corresponde sólo a un primer borrador en relación con el tema de la seguridad física. Aunque ésta puede tener igual o más importancia que la seguridad lógica relacionada directamente con el uso de algoritmos de cifra y firma digital y la protección de la información mediante técnicas criptográficas, de las que este curso hace una mayor profundización, se actualizará este material e incluirán nuevos temas. Nota del autor

3 © Jorge Ramió Aguirre Madrid (España) 2002 Curso de Seguridad Informática. Tema 3: Seguridad Física.3 Los datos deben protegerse aplicando: Seguridad Lógica –Uso de herramientas de protección de la información en el mismo medio en el que se genera o transmite. Seguridad Física –Procedimientos de protección física del sistema (incendios, agua, terremotos, etc.). –Medidas de prevención de riesgos tanto físicos como lógicos. Seguridad Física

4 © Jorge Ramió Aguirre Madrid (España) 2002 Curso de Seguridad Informática. Tema 3: Seguridad Física.4 Anclajes a mesas de trabajo. Cerraduras. Tarjetas con alarma. Etiquetas con adhesivos especiales. Bloqueo de disquetera. Protectores de teclado. Tarjeta de control de acceso al hardware. Suministro ininterrumpido de corriente. Toma de tierra. Eliminación de la estática... etc. Seguridad Física en entornos de PCs Temas a tener en cuenta en un entorno PC

5 © Jorge Ramió Aguirre Madrid (España) 2002 Curso de Seguridad Informática. Tema 3: Seguridad Física.5 Proceso de identificación y evaluación del riesgo a sufrir un ataque y perder datos, tiempo y horas de trabajo, comparándolo con el costo de la prevención de esta pérdida. Su análisis no sólo lleva a establecer un nivel adecuado de seguridad: permite conocer mejor el sistema que vamos a proteger. Análisis de riesgos

6 © Jorge Ramió Aguirre Madrid (España) 2002 Curso de Seguridad Informática. Tema 3: Seguridad Física.6 Información que se obtiene en un análisis de riesgos: –Determinación precisa de los recursos sensibles de la organización. –Identificación de las amenazas del sistema. –Identificación de las vulnerabilidades específicas del sistema. –Identificación de posibles pérdidas. Información del análisis de riesgos (1)

7 © Jorge Ramió Aguirre Madrid (España) 2002 Curso de Seguridad Informática. Tema 3: Seguridad Física.7 Información que se obtiene en un análisis de riesgos (continuación): –Identificación de la probabilidad de ocurrencia de una pérdida. –Derivación de contramedidas efectivas. –Identificación de herramientas de seguridad. –Implementación de un sistema de seguridad eficiente en costes y tiempo. Información del análisis de riesgos (2)

8 © Jorge Ramió Aguirre Madrid (España) 2002 Curso de Seguridad Informática. Tema 3: Seguridad Física.8 ¿ B P L ? –B: Peso o carga que significa la prevención de una pérdida específica. –P: Probabilidad de ocurrencia de una pérdida específica. –L: Impacto total de una pérdida específica. Conceptos teóricos de análisis de riesgos

9 © Jorge Ramió Aguirre Madrid (España) 2002 Curso de Seguridad Informática. Tema 3: Seguridad Física.9 SiB P L Hay que implementar una medida de prevención. SiB P L No es necesaria una medida de prevención. ¿Cuándo y cuánto invertir en seguridad?

10 © Jorge Ramió Aguirre Madrid (España) 2002 Curso de Seguridad Informática. Tema 3: Seguridad Física.10 El control ha de tener menos coste que el valor de las pérdidas debido al impacto de ésta si se produce el riesgo temido. Ley básica: el costo del control ha de ser menor que el activo que protege. Efectividad del coste

11 © Jorge Ramió Aguirre Madrid (España) 2002 Curso de Seguridad Informática. Tema 3: Seguridad Física.11 Factor L El factor de impacto total L es difícil de evaluar. Incluye daños a la información, equipos, pérdidas por reparación, por levantar el sistema y pérdidas por horas de trabajo. Hay una parte subjetiva. La pérdida de datos puede llevar a una pérdida de oportunidades. Efecto cascada. El factor L en la ecuación de riesgo (1)

12 © Jorge Ramió Aguirre Madrid (España) 2002 Curso de Seguridad Informática. Tema 3: Seguridad Física.12 Recomendación: En la organización debe existir una comisión especializada interna o externa que sea capaz de evaluar todas las posibles pérdidas y cuantificarlas. El factor L en la ecuación de riesgo (2)

13 © Jorge Ramió Aguirre Madrid (España) 2002 Curso de Seguridad Informática. Tema 3: Seguridad Física.13 Factor P El factor P está relacionado con la determinación de impacto total L. Depende del entorno en el que esté la posible pérdida. La probabilidad puede asociarse a una tendencia o frecuencia conocida. –Conocido P para un L dado, se obtiene la probabilidad de pérdida relativa de la ocurrencia P L que se comparará con B, el peso que supone implantar la medida de prevención respectiva. El factor P en la ecuación de riesgo

14 © Jorge Ramió Aguirre Madrid (España) 2002 Curso de Seguridad Informática. Tema 3: Seguridad Física.14 Factor B Indica qué se requiere para prevenir una pérdida. –Ejemplo: el peso o carga de prevención para que un vehículo vaya sin gasolina es el costo de echarle gasolina. El peso incluye los valores de tiempo y costo: ir a la gasolinera, esperar a que esté libre un surtidor, poner gasolina y pagar. El factor B en la ecuación de riesgo (1)

15 © Jorge Ramió Aguirre Madrid (España) 2002 Curso de Seguridad Informática. Tema 3: Seguridad Física.15 Factor B ¿Cuánta protección es necesaria? –¿Cuánta gasolina debemos echar en el depósito? Depende de hasta dónde queramos desplazarnos con el coche. ¿De qué forma nos protegeremos? –Una casa puede protegerse con puertas, cerraduras, barras en ventanas, sistemas de alarmas, etc. El factor B en la ecuación de riesgo (2)

16 © Jorge Ramió Aguirre Madrid (España) 2002 Curso de Seguridad Informática. Tema 3: Seguridad Física Identificación de posibles pérdidas (L) Identificar amenazas 2. Determinar susceptibilidad. Posibilidad de pérdida (P) 3. Identificar posibles acciones y sus implicaciones. (B) Seleccionar acciones a implementar. Pasos en un análisis de riesgos

17 © Jorge Ramió Aguirre Madrid (España) 2002 Curso de Seguridad Informática. Tema 3: Seguridad Física.17 Con valores ficticios, se trata de encontrar a cuánto puede ascender nuestro presupuesto en materia de seguridad (B) si conocemos el impacto económico (L) que eso supone y hemos especificado un factor de probabilidad (P) de que esta catástrofe ocurra. Si B P L instalamos las medidas. Ejemplo de análisis de riesgo

18 © Jorge Ramió Aguirre Madrid (España) 2002 Curso de Seguridad Informática. Tema 3: Seguridad Física.18 Políticas administrativas –Procedimientos administrativos. Políticas de control de acceso –Privilegios de acceso del usuario o programa. Políticas de flujo de información –Normas bajo la cuales se comunican los sujetos dentro del sistema. Políticas de seguridad

19 © Jorge Ramió Aguirre Madrid (España) 2002 Curso de Seguridad Informática. Tema 3: Seguridad Física.19 Políticas administrativas –Se establecen aquellos procedimientos de carácter administrativo en la organización como por ejemplo en el desarrollo de programas: modularidad en aplicaciones, revisión sistemática, etc. Políticas administrativas

20 © Jorge Ramió Aguirre Madrid (España) 2002 Curso de Seguridad Informática. Tema 3: Seguridad Física.20 Políticas de control de acceso –Política de menor privilegio Acceso estricto a objetos determinados –Política de compartición Acceso de máximo privilegio –Granularidad Número de objetos accesibles (gruesa y fina) Control de accesos

21 © Jorge Ramió Aguirre Madrid (España) 2002 Curso de Seguridad Informática. Tema 3: Seguridad Física.21 Políticas de control de flujo –La información a la que se accede se envía por ¿Canales lícitos o canales ocultos? –¿Qué es lo que hay que potenciar? ¿La confidencialidad? ¿La integridad? ¿La disponibilidad? Según organización diferencias Control de flujo

22 © Jorge Ramió Aguirre Madrid (España) 2002 Curso de Seguridad Informática. Tema 3: Seguridad Física.22 Modelo de Bell and LaPadula (BLP) –Rígido. Confidencialidad y autoridad. Modelo de Taque-Grant (TG) –Derechos especiales: tomar y otorgar. Modelo de Clark-Wilson (CW) –Orientación comercial: integridad. Modelos de seguridad (1)

23 © Jorge Ramió Aguirre Madrid (España) 2002 Curso de Seguridad Informática. Tema 3: Seguridad Física.23 Modelo de Goguen-Meseguer (GM) –No interferencia entre usuarios. Modelo de Matriz de Accesos –Estados y transiciones entre estados Graham-Dennig (GD) Harrison-Ruzzo-Ullman (HRU) Modelos de seguridad (2)

24 © Jorge Ramió Aguirre Madrid (España) 2002 Curso de Seguridad Informática. Tema 3: Seguridad Física.24 Criterio de evaluación TSEC –Trusted Computer System Evaluation Criteria, también conocido como Orange Book Criterio de evaluación ITSEC –Information Technology Security Evaluation Criteria Criterio de evaluación CC –Common Criteria (los dos anteriores) Criterios de seguridad

25 © Jorge Ramió Aguirre Madrid (España) 2002 Curso de Seguridad Informática. Tema 3: Seguridad Física.25 Escritura hacia abajo prohibida Lectura hacia arriba prohibida Principio de tranquilidad No lectura hacia arriba Secreto máximo (usuario dado de alta con nivel secreto) Secreto No escritura hacia abajo No clasificado Modelo de Bell LaPadula BLP

26 © Jorge Ramió Aguirre Madrid (España) 2002 Curso de Seguridad Informática. Tema 3: Seguridad Física.26 Se describe mediante grafos orientados: –el vértice es un objeto o sujeto. –un arco es un derecho. Se ocupa sólo de aquellos derechos que pueden ser transferidos. Modelo Take Grant (TG)

27 © Jorge Ramió Aguirre Madrid (España) 2002 Curso de Seguridad Informática. Tema 3: Seguridad Física.27 Basado en políticas de integridad –Elementos de datos restringidos sobre éstos debe hacerse un chequeo de consistencia –Elementos de datos no restringidos –Procedimientos de transformación trata los dos elementos –Procedimientos de verificación de integridad Modelo Clark Wilson (CW)

28 © Jorge Ramió Aguirre Madrid (España) 2002 Curso de Seguridad Informática. Tema 3: Seguridad Física.28 ¿Qué es un Plan de Contingencia? ¿Por qué es necesario implementarlo? ¿Qué gana la empresa con este plan? Y si no lo tiene ¿a qué se expone? Lo veremos a continuación Planes de contingencia

29 © Jorge Ramió Aguirre Madrid (España) 2002 Curso de Seguridad Informática. Tema 3: Seguridad Física.29 Un Plan de Contingencia consiste en un análisis pormenorizado de las áreas que componen nuestra organización que nos servirá para establecer una política de recuperación ante un desastre. –Es un conjunto de datos de la empresa que se plasma en un documento con ese fin. Definición de plan de contingencia

30 © Jorge Ramió Aguirre Madrid (España) 2002 Curso de Seguridad Informática. Tema 3: Seguridad Física.30 Desastres naturales –Huracán –Tormenta –Inundación –Tornado –Vendaval, etc Destruyen nuestro sistema Medidas prevención –Emplazamientos adecuados –Protección fachadas, ventanas, puertas Desastres naturales y su prevención

31 © Jorge Ramió Aguirre Madrid (España) 2002 Curso de Seguridad Informática. Tema 3: Seguridad Física.31 Terrorismo Sabotaje Robo Virus Programas malignos Medidas de prevención –Fortificación entradas –Guardia Jurado –Patrullas –Circuito cerrado TV –Control de accesos –Protección de software y hardware con un antivirus. Vandalismo informático y su prevención

32 © Jorge Ramió Aguirre Madrid (España) 2002 Curso de Seguridad Informática. Tema 3: Seguridad Física.32 Inundaciones por causas propias de la empresa Inundaciones por causas ajenas Pequeños incidentes personales (botella de agua, taza con café) Medidas prevención –Revisar conductos de agua –Localizar la sala con los equipos más caros en un sitio libre de estos problemas –Instalar sistemas de drenaje emergencias Amenazas del agua y su prevención

33 © Jorge Ramió Aguirre Madrid (España) 2002 Curso de Seguridad Informática. Tema 3: Seguridad Física.33 Debido a una mala instalación eléctrica Debido a descuidos (fumar en la sala de ordenadores) Papeleras mal ubicadas (se tira un cigarrillo no apagado) Problemas del humo Medidas prevención –Detector humo y calor –Materiales ignífugos –Almacén de papel separado de máquinas –Estado del falso suelo –Extintores revisados Es la amenaza más temida por su rápido poder destructor. Amenazas del fuego y su prevención

34 © Jorge Ramió Aguirre Madrid (España) 2002 Curso de Seguridad Informática. Tema 3: Seguridad Física.34 Las empresas dependen hoy en día de los equipos informáticos y de los datos que hay allí almacenados. Dependen también cada vez más de las comunicaciones a través de redes de datos. Si falla el sistema informático y no puede recuperarse, la empresa puede desaparecer. ¿Y si se produce una catástrofe?

35 © Jorge Ramió Aguirre Madrid (España) 2002 Curso de Seguridad Informática. Tema 3: Seguridad Física.35 Además de seguridad, la empresa gana en conocimiento real de sus fortalezas y debilidades. Si no lo hace se expone a sufrir una pérdida irreparable mucho más costosa que la implantación de este plan. Importancia de contar con un plan

36 © Jorge Ramió Aguirre Madrid (España) 2002 Curso de Seguridad Informática. Tema 3: Seguridad Física.36 Pérdida de clientes Pérdida de imagen Pérdida de ingresos por beneficios Pérdida de ingresos por ventas y cobros Pérdida de ingresos por producción Pérdida de competitividad Pérdida de credibilidad en el sector Pérdidas por no contar con un plan

37 © Jorge Ramió Aguirre Madrid (España) 2002 Curso de Seguridad Informática. Tema 3: Seguridad Física.37 Período máximo de paro de una empresa sin poner en peligro su supervivencia: –Sector Seguros: 5,6 días –Sector Fabricación:4,9 días –Sector Industrial:4,8 días –Sector Distribución:3,3 días –Sector Financiero:2,0 días Ref. Estudio de la Universidad de Minnesota Tiempo de recuperación ante desastres

38 © Jorge Ramió Aguirre Madrid (España) 2002 Curso de Seguridad Informática. Tema 3: Seguridad Física.38 Plan de emergencia –Vidas, heridos, activos, evacuación personal –Inventariar recursos siniestrados –Evaluar el coste de la inactividad Plan de recuperación –Acciones tendentes a volver a la situación que existía antes del desastre. Implantación de medidas

39 © Jorge Ramió Aguirre Madrid (España) 2002 Curso de Seguridad Informática. Tema 3: Seguridad Física.39 Instalaciones alternativas –Oficina de servicios propia –Acuerdo con empresa vendedora hardware –Acuerdo recíproco entre dos o más empresas –Arranque en frío; sala vacía propia –Arranque en caliente: centro equipado –Sistema Up Start: caravana, unidad móvil –Sistema Hot Start: centro gemelo Plan de continuidad Fin del Tema 3


Descargar ppt "Tema 3 Seguridad Física Curso de Seguridad Informática Material Docente de Libre Distribución Curso de Seguridad Informática © Jorge Ramió Aguirre Este."

Presentaciones similares


Anuncios Google