La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Seguridad y Auditoria de Sistemas Ciclo

Publicada porPrudencia Cayetano Modificado hace 9 años

Presentaciones similares

Presentación del tema: "Seguridad y Auditoria de Sistemas Ciclo"— Transcripción de la presentación:

1 Seguridad y Auditoria de Sistemas Ciclo 2009-2
SEGURIDAD LÓGICA Seguridad y Auditoria de Sistemas Ciclo Ing. Yolfer Hernández, CIA

2 TEMARIO – Herramientas y Técnicas SL
Métodos de Criptografía Conceptos de criptografía y protección Criptografía Clásica y Moderna Algoritmos Simétricos y Asimetricos Métodos de Criptografía: Certificado Digital Planes de Contingencia Conceptos generales del PCN / BRS Fases del PCN

3 TEMARIO – Herramientas y Técnicas SL
Ataques Informáticos Riesgos por Internet: Programas intrusivos Crimen Informático Métodos de Defensa y Prevención

4 Métodos de Criptografía
Criptografía, es el arte y ciencia de cifrar y descifrar datos usando las matemáticas. Usualmente se usan Algoritmos y Claves, haciendo posible el intercambio de datos para que sólo puedan ser leídos por las personas autorizadas. Funciones: Autenticación: ¿Como puedo garantizar que soy quien digo ser? Integridad: ¿Como puedo saber si la información no ha sido manipulada? Confidencialidad: ¿Como se garantiza que solo aquellos a los que se ha autorizado tienen acceso a la información ? No repudio: ¿Como me aseguro que las partes que intervienen en una transacción no niegen haberlo hecho? ? þ * C

5 Criptografía clásica Sistema de Sustitución
Los caracteres del mensaje en claro se modifican o sustituyen por otros elementos o letras en la cifra. El criptograma tendrá caracteres distintos a los que tenía el mensaje en claro. Ejemplo: El cifrador de Vigenére, Soluciona la debilidad del cifrado del César en que una letra se cifra siempre igual. Se usa una clave K de longitud L y se cifra carácter a carácter sumando módulo n el texto en claro con los elementos de esta clave. Sea K = CIFRA y el mensaje M = HOLA AMIGOS M = H O L A A M I G O S K = C I F R A C I F R A sumando mod 27... C = J W P R A Ñ P L G S Ci = Mi + 3 mod 27 Ci = Mi + Ki mod 27 A B C D E F G H I J K L M N Ñ O P Q R S T U V W X Y Z

6 Criptografía clásica Sistema de Transposición
Los caracteres del mensaje en claro se redistribuyen sin modificarlos y según unas reglas, dentro del criptograma. El criptograma tendrá los mismos caracteres del mensaje en claro pero con una distribución diferente. Ejemplo: El cifrador escítala, Usada por los griegos siglo V a.c. Consistía en un bastón en el que se enrollaba una cinta de cuero y luego se escribía en ella el mensaje de forma longitudinal. Al desenrollar la cinta, las letras aparecerán desordenadas. Bastón y cinta para cifrar: El texto en claro es: M = ASI CIFRABAN CON LA ESCITALA El texto cifrado o criptograma será: C = AAC SNI ICT COA INL FLA RA AE BS En ese bastón residía la fortaleza de un pueblo. De esos tiempos proviene como símbolo de poder, el bastón de mando que se le entrega al alcalde de una ciudad en la ceremonia de su nombramiento

7 Criptografía moderna Sistemas criptográficos
Surge como solución a las necesidades de seguridad, permitido por el avance tecnológico (velocidad de cálculo), matemático (Métodos criptográficos). Los criptosistemas modernos, cuya cifra en bits está orientada a todos los caracteres ASCII o ANSI usan por lo general una operación algebraica, sin que necesariamente deba corresponder con el número de elementos del alfabeto o código utilizado. Generalmente nunca coinciden. Su fortaleza está en la imposibilidad computacional de descubrir una clave secreta única, en tanto que el algoritmo de cifra es (o debería ser) público.

8 Métodos de Criptografía Algoritmos Simétricos
protegida EK M no permitido DK Medio de k Transmisión M C Texto Base Criptograma MT Integridad C’ no permitido Intruso Confidencialidad La confidencialidad y la integridad se lograrán si se protegen las claves en el cifrado y en el descifrado. Es decir, se obtienen simultáneamente si se protege la clave secreta. DES, TDES, IDEA, CAST, RC2, RC5, Blowfish, Rijndael... K = Usa la misma clave para cifrar y descifrar La seguridad esta en la clave no en el algoritmo Las claves hay que distribuirlas en secreto Altas velocidades de cifrado Si una clave esta comprometida, puede descifrarse todo el trafico de la misma. Aumento del numero de claves : n(n-1)/2 para n usuarios.

9 Métodos de Criptografía Algoritmos Asimétricos (RSA)
protegida M no permitido Las cifras EB y DB (claves) son inversas dentro de un cuerpo Medio de Clave pública del usuario B Transmisión M C Usuario A Criptograma EB MT DB Clave privada Usuario B Confidencialidad Observe que se cifra con la clave pública del destinatario. RSA, DH (Diffie y Hellman), Elgamal Integridad C’ no permitido Intruso Uso de dos claves diferentes Una secreta Otra publica Ambas relacionadas matemáticamente El mensaje cifrado con una clave, sólo puede ser descifrado por la otra El conocimiento de una de las claves no permite deducir la otra La clave pública se puede comunicar a cualquier persona Se facilita el procedimiento para establecer la comunicación segura y la gestión de claves Algoritmos lentos

10 Métodos de Criptografía
Firma Digital Un mensaje se puede firmar cifrandolo con la clave privada Esto garantiza que el emisor lo ha creado El documento sigue siendo público Resulta mas eficiente firmar el código hash Se genera el código hash del mensaje Luego se cifra el código hash con la clave privada Certificado Digital

11 Métodos de Criptografía
Certificados Los certificados son claves públicas que han sido “firmadas” por una entidad certificadora reconocida Se firma la clave pública con los datos del propietario La clave de la entidad certificadora está integrada en el navegador en el programa de correo, para poder verificar la firma Además de verificar la clave localmente, se puede consultar la lista pública de claves no-válidas en la entidad certificadora Protocolos de Seguridad SSL (Secure Sockets Layer), creado en 1994 por Netscape, para autentificar al servidor y cliente (tambien confidencialidad e Integridad) SET (Secure Electronic Transaction), sistema de pago seguro para certificar a tarjetas y comercios, creado por Visa, Mastercard, IBM, Microsoft, Verisign y Netscape. PKI (Public Key Infraestructure), mejora de seguridad incluyendo no-repudio y control de acceso, gestion de certificados, claves, etc.

12 Métodos de Criptografía
Certificado Digital

13 Plan de Continuidad de Negocio - PCN

14 Plan de Continuidad “Es un conjunto de procedimientos, normas, recursos, funciones, planes, pruebas, etc, diseñadas para asegurar la continuidad del negocio, mitigar los riesgos y organizar la recuperación, cuando se presenten eventos que impidan el normal funcionamiento de las actividades.”

15 Plan de Continuidad - Fases
Planificación Responsabilidad de la Dirección Asignar equipo de PCN Desarrollar y aprobar el Plan Acciones de Emergencia Procedimientos de alertas y activación Evaluación de Daños Continuidad de Operaciones Atención de servicios críticos (offline y/o manual) Recuperación de Infraestructura Tecnológica alterna Cuadre operativo y “enganche” offline-online alterno Atención con infraestructura alterna

16 Plan de Continuidad - Fases
Retorno a la Normalidad al sistema principal Recuperación procesador principal Procedimientos de retorno Atención en procesador principal Sin Retorno a la Normalidad (otra estrategia) Switch procesador alterno como principal Fin de la Emergencia Informe final – Evaluación de resultados Actualización de procedimientos (retroalimentación) Gestión del Plan - Programas Entrenamiento Pruebas Mantenimiento y Monitoreo Evaluación: Auditoria

17 Plan de Continuidad Aspectos a tener en cuenta:
Estrategia de Recuperación Actividades previas al desastre Actividades durante el desastre Actividades después del desastre Factores importantes: Tecnología Servicios (Circuitos, proveedores, etc.) Recursos Humanos Amenazas Activos Vulnerabilidades Explotan Generan Impactos Riesgos Implican Salvaguardas Decisiones R E D U C E N

18 Riesgos por Internet Atacantes Métodos de Ataque Debilidades
Hackers Robo de Información Crimen Organizado Crackers Atacantes Sniffing Phishing Denegación de Servicios Ingeniería Social Métodos de Ataque Agujeros de Seguridad en las Redes Actualizaciones no instaladas Puertos abiertos Debilidades de Control Debilidades Spams Virus Troyanos Programas intrusivos 18

19 Amenazas en puntos finales
Riesgos por Internet Exposición de Amenazas en puntos finales Aplicaciones Zero-hour attacks, Malware, Trojans, application injection Dispositivos de E/S Slurping, IP theft, malware Memoria / Procesos Buffer Overflow, process injection, key logging Sistema operativo Malware, Rootkits, day-zero vulnerabilities Conexiones de red Worms, exploits & attacks Virus, Trojans, Malware & spyware Archivos y datos de sistema 19

20 3ra Reunión Regional de CIAPEM Noroeste
Tendencias de los ataques - Actividad maliciosa - Mundial Entre el 1 de julio y el 31 de diciembre, Estados Unidos fue el principal país desde el que se originó actividad maliciosa (en datos en bruto), con un 31% del total. China apareció en segundo puesto con el 7% 3ra Reunión Regional de CIAPEM Noroeste 20 20 20 20

21 3ra Reunión Regional de CIAPEM Noroeste
Tendencias de los ataques - Actividad maliciosa – América Latina En América Latina, Brasil fue el principal país con más actividad maliciosa en América Latina y el noveno a nivel mundial. Estuvo seguido de Argentina y México 3ra Reunión Regional de CIAPEM Noroeste 21 21 21 21

22 Tendencia de los Ataques Bots y Redes Bots en América Latina
Durante el segundo semestre de 2007, Symantec detectó 61,940 computadoras de redes bot activas por día, un incremento de 17% con la primera mitad del año. El total de computadoras a nivel mundial infectadas por bot que Symantec identificó fue de 5,060,187. Los servidores de control se redujeron a 4,901 En América Latina, Brasil ocupa el primer sitio debido a la penetración de banda ancha – líder en la región. 3ra Reunión Regional de CIAPEM Noroeste 22

23 Crimen Organizado a nivel mundial
Preparación de Técnicas de Fraude Phishing Troyanos Etc. Recolección de Información de Clientes R Envío de Correos Interceptación de operaciones Bases de Datos organizados (“Bot’s”) Modo de Operación Ejecución del Fraude Transferencia de Cuentas Retiro de Fondos Pago de Servicios Etc. Ejecutores “Mulas” Reclutamiento Apertura de Cuentas 23

24 Crimen Organizado a nivel mundial
Phishing: Fraudes por engaño o “ingeniería social” más extendidos a nivel mundial. Tiene costo reducido, ejecución continuada y escaso riesgo de capturado. Aún con escaso impacto unitario, la Rentabilidad Ajustada a Riesgo para el delincuente es alta. Métodos conocidos, consisten en simulación de páginas y envío de s masivos (spam). Troyano: Fraudes mediante el uso de programas intrusivos que se alojan en el disco de la PC. Capturan información de las PC’s Cambian la dirección de las páginas originales 24

25 Medios de Autenticación Fuerte
Malla compleja para los Usuarios Existen diversos medios de autenticación en función de varios ejes: servicio, canal, riesgo, preferencias. Puede compartir el mismo medio de autenticación para varios servicios, o utilizar varios diferentes. Cada medio de autenticación requiere un sistema de validación diferente. Las aplicaciones tienen que adecuarse a cada medio Logística, Gestión de Estados, asignación => Incremento importante de Costos 25

26 Fundamentos de información Seguridad de punto final
Reducción de riesgos Proveer defensa en tiempo real contra actividad maliciosa Fundamentos de información Seguridad de punto final Teléfono celular Laptop Desktop Servidor de archivos Servidor de aplicaciones Servidor de mesajería Servidor de base de datos Security Symantec Endpoint Protection 26 26

27 Administración de Seguridad
Reducción de riesgos Administración de Seguridad Administración de políticas Admón. de vulnerabilidades Admon. de información Eventos y registros i ! Fundamentos de información Seguridad de punto final Teléfono celular Laptop Desktop Servidor de archivos Servidor de aplicaciones Servidor de mesajería Servidor de base de datos Security Symantec Endpoint Protection 27 27

Descargar ppt "Seguridad y Auditoria de Sistemas Ciclo"

Presentaciones similares

SEGURIDAD DE LA INFORMACIÓN

SEGURIDAD DE LA INFORMACIÓN
Criptografía como recurso para el aula de matemáticas. El arte de esconder Firmas digitales La firma digital es una sucesión de bits que se obtienen mediante.

Criptografía como recurso para el aula de matemáticas. El arte de esconder Firmas digitales La firma digital es una sucesión de bits que se obtienen mediante.
Jorge de Nova Segundo UD4: Instalación y administración de servicios Web Seguridad del protocolo HTTP.

Jorge de Nova Segundo UD4: Instalación y administración de servicios Web Seguridad del protocolo HTTP.
Delitos Informáticos.

Delitos Informáticos.
SEGURIDAD EN INTERNET EQUIPO No. 1 TELECOMUNICACIONES II Seguridad de Redes Seguridad de Redes Protección al proceso mediante el cual la información es.

SEGURIDAD EN INTERNET EQUIPO No. 1 TELECOMUNICACIONES II Seguridad de Redes Seguridad de Redes Protección al proceso mediante el cual la información es.
Curso de Seguridad Informática

Curso de Seguridad Informática
Curso de Seguridad Informática

Curso de Seguridad Informática
- Firma digital y cifrado de mensajes.

- Firma digital y cifrado de mensajes.
Introducción Empezamos describiendo al comercio electrónico como el proceso de comprar y vender bienes y servicios electrónicamente, mediante transacciones.

Introducción Empezamos describiendo al comercio electrónico como el proceso de comprar y vender bienes y servicios electrónicamente, mediante transacciones.
Certificados digitales y Firma electrónica Conceptos Básicos

Certificados digitales y Firma electrónica Conceptos Básicos

Que es el protocolo “SSL”

Que es el protocolo “SSL”
Trabajo de redes Inma Gómez Durán

Trabajo de redes Inma Gómez Durán
ALGORITMO DE LLAVE PUBLICA/ASIMETRICA

ALGORITMO DE LLAVE PUBLICA/ASIMETRICA
CONCEPTOS INFORMATICA, TELEMATICA Y REDES

CONCEPTOS INFORMATICA, TELEMATICA Y REDES
Redes I Unidad 7.

Redes I Unidad 7.
SEGURIDAD INFORMÁTICA

SEGURIDAD INFORMÁTICA
Administración de Certificados Digitales

Administración de Certificados Digitales
Firma y Certificado Digital Angel Lanza Carlos Garcia.

Firma y Certificado Digital Angel Lanza Carlos Garcia.
Seguridad del protocolo HTTP

Seguridad del protocolo HTTP

Presentaciones similares

Anuncios Google