Security Assesment M.C. Juan Carlos Olivares Rojas Department of Computer and System Instituto Tecnológico de Morelia 19.72388.

Presentación del tema: "Security Assesment M.C. Juan Carlos Olivares Rojas Department of Computer and System Instituto Tecnológico de Morelia 19.72388."— Transcripción de la presentación:

1 Security Assesment M.C. Juan Carlos Olivares Rojas Department of Computer and System Instituto Tecnológico de Morelia jcolivar@itmorelia.edu.mx 19.72388 lat, -101.1848 long

2 Disclaimer Some material in this presentation has been obtained from various sources, each of which has intellectual property, so in this presentation will only have some rights reserved. These slides are free, so you can add, modify, and delete slides (including this one) and slide content to suit your needs. They obviously represent a lot of work on my part. In return for use, I only ask the following: if you use these slides (e.g., in a class) in substantially unaltered form, that you mention their source.

3 Outline Generalities of Physical Area Security Logical and Confidential Security Staff Security Security Control Classification Data and Software Application Security Control for Software Applications Assesment Control for avoiding crime and informatic frauds Contingency Plan, Insurance, Procedures of Backup Disasters.

4 Outline Techniques and Tools related with physical and staff security. Techniques and Tools related with data and software application security.

5 Objectives of the Session The students will know the basis of Security Information. The students will identified and applied some security controls in the organisations.

6 Competencias Genéricas: Análisis, Diseño de soluciones, Creatividad y Trabajo en equipo Naturaleza Competencia: Entrenamiento Competencias Específicas: Conocimiento de los fundamentos de auditoria (conceptos básicos, planeación, Auditoría de la función informática, Presentación de Informes) Conocimiento y Aplicación de los Estándares de Auditoria en Seguridad Informática y Redes.

7 Objetivo Los estudiantes definirán y aplicarán controles en diferentes áreas informáticas tales como: instalaciones físicas, recursos humanos, telecomunicaciones, seguridad de la información, realizando actividades de auditoría y consultoría informática.

8 Certificación CISA Está compuesta por 200 preguntas: Proceso de Auditoria de SI 10% Gobernanza TI 15% Gestión del Ciclo de Vida de Infraestructura y Systemas 16% Soporte y Entrega de Servicios de TI 14% Protección de Activos de Información 31% Continuidad del Negocio y Recuperación de Desastres 14%

9 Estd. de Seguridad Informática ISO 17799- ISO 27001 –Política de seguridad –Aspectos organizativos para la seguridad –Clasificación y control de activos –Seguridad ligada al personal –Seguridad física y del entorno –Gestión de comunicaciones y operaciones –Control de accesos –Desarrollo y mantenimiento de sistemas –Gestión de incidentes de seguridad –Gestión de continuidad de negocio –Conformidad

10 ¿Por qué usar Mejores Prácticas? Nos orientan hacia mejores resultados

11 Seguridad Informática Cualquier medida que impida la ejecución de operaciones no autorizadas sobre un sistema o red informática, cuyos efectos pueden conllevar daños sobre la información, comprometer su confidencialidad, autenticidad o integridad, disminuir el rendimiento de los equipos o bloquear el acceso de usuarios autorizados al sistema.

12 Seguridad El ISO/IEC 17799, define CIA (Confidentialy, Integrity, Availability) como pilar fundamental de la Seguridad Informática. Principios de “defensa en profundidad”: cifrado de datos, gestión de usuarios, configuración robusta de equipos, segmentación de redes (VLANs), Seguridad Perimetral.

13 Seguridad Informática Existen 4 planes de actuación: técnico, humano, legal y organizativo. La seguridad es un proceso. Se necesita de un Sistema de Gestión de Seguridad de la Información (SGSI). La información es un recurso vital en el mundo globalizado de hoy en día.

14 Seguridad Informática SSE/CMM (Systems Security Engineering/ Capability Maturity Model) define: Nivel 0: Nada de seguridad Nivel 1: Prácticas de seguridad realizadas de manera informal Nivel 2: Planificación y seguimiento de las prácticas de seguridad

15 Seguridad Informática Nivel 3: Definición y coordinación de las políticas y procedimientos de seguridad. Nivel 4: Seguridad controlada a través de distintos controles y objetivos de calidad. Nivel 5: Implantación de un proceso de mejora continua.

16 Seguridad Informática Se tiene una jerarquía de seguridad informática: CIA Políticas Planes Procedimientos Tareas y Operaciones Registros y Evidencias.

17 Seguridad Informática Ejemplo de seguridad CIA Política: protección del servidor Web de la organización contra accesos no autorizados. Procedimiento 1: Actualización del software del servidor Web. Tarea1: Revisión diaria de los parches publicados por el fabricante.

18 Seguridad Informática Tarea2: Seguimiento de las noticias sobre posibles fallos de seguridad. Procedimiento 2: Revisión de los registros de actividad en el servidor. Tarea1: revisión semanal de los “logs” del servidor para detectar anomalías.

19 Seguridad Informática Tarea2: Configuraciones de alertas de seguridad que permitan reaccionar de forma urgente ante determinados tipos de ataques e intentos de intrusión. Inventario de soportes físicos. Destructor de Discos Duros

20 SGSI Un SGSI se encuentra estandarizado en la norma ISO 27001:2005. La ISO 17799:2005 define buenas prácticas de SI pero en si no es certificable como tal. Se utilizó hasta antes de definirse el ISO 27001:2005 Está basado en la norma británica BS7799 utilizada en seguridad de SI.

21 SGSI A continuación se muestran las principales versiones del estándar: ISO 27000 Vocabulario y Glosario ISO 27001 Estándar certificable ISO 27002 Relevo del ISO/IEC 17799:2005

22 SGSI ISO 27003 Guía de implantación ISO 27004 Métricas e indicadores ISO 27005 Gestión de Riesgos ISO 27006 Requerimientos para las entidades de auditoría y certificación.

23 SGSI Se basa en la metodología de Dewey (Plan, Do, Check, Act). La cual quedaría definida así: Plan: Establecer el SGSI Do: Implantar y Operar el SGSI Check: Monitorear y Revisar el SGSI

24 SGSI Act: Mantener y mejorar el SGSI Otras actividades: Control de Documentos Capacitación Acción Correctiva Acción preventiva

25 SGSI Se clasifican cada uno de los activos, se determinan amenazas, vulnerabilidades, riesgos basándose en una escala de 1 (muy bajo) a 5 (muy alto). Se debe realizar un Plan de Continuidad del Negocio, el cual puede contener: DRP Disaster Recovery Planning

26 SGSI BRP Business Resumption Planning COOP Continuity Operations Planning CP Contingence Planning ERP Emergency Response Planning

27 SGSI Pirámide Documental: Manual de Seguridad Procedimientos Instrucciones de Trabajo Documentos

28 SGSI Se deben tomar en cuenta muchos aspectos para establecer mecanismos de seguridad: Aspectos legales, sociales y éticos Controles físicos Cuestiones de política

29 SGSI Problemas operacionales Controles de hardware Soporte del Sistema Operativo Existen dos enfoques de seguridad: discrecional y obligatorio.

30 SGSI En el discrecional, los usuarios tienen derechos de acceso diferentes (privilegios) por lo tanto son muy flexibles El control obligatorio, cada objeto está etiquetado con un nivel de clasificación y a cada usuario se le da un nivel de acreditación. Son sistemas jerárquicos y rígidos.

31 SGSI La autenticación es el proceso que consiste en verificar que el usuario es quién dice ser. La autorización es el proceso para que un usuario pueda realizar una acción. Registro de auditoría es un archivo o base de datos en el que el sistema lleva la cuenta de las operaciones realizadas por los usuarios.

32 SGSI Los controles de acceso obligatorio se rigen en base al principio de Bell-LaPadula: El usuario i puede recuperar el objeto j sólo si el nivel de acreditación de i es mayor o igual al nivel de clasificación de j (“propiedad de seguridad simple”).

33 SGSI El usuario i puede actualizar el objeto j sólo si el nivel de acreditación de i es igual al nivel de clasificación de j. Los controles de acceso se dividen en 4: D, C, B y A. Donde D es la protección mínima, C es discrecional, B es obligatoria y A es verificada.

34 SGSI Dentro de C, se encuentran los niveles C1 (menos segura) y C2. La seguridad física es muy importante a tal punto que se debe de considerar en todo SGSI. Una de las normas de seguridad física más utilizada es: BS 7799-2:2002.

35 Riesgos de Seguridad Informática

36 Pasos Recomendados en una Estrategia

37 Evaluación de Activos

38 COBIT Control Objective for Information & related Technology.

39 ITIL IT Infrastructure Library, incluye definiciones de las mejores prácticas para la gestión de Servicios. La definición se divide en dos volúmenes: Soporte de Servicios Distribución de Servicios

40 Amenazas de Seguridad Intercepción Interrupción Modificación Fabricación

41 Amenazas de Seguridad Ingeniería Social Ataques pasivos Ataques activos Análisis de Riesgos Interrupción del Serivicio FPGA

42 Amenazas de Seguridad Virus informáticos Gusanos Troyanos Spyware Adware Dialers Exploit Bots Pharming

43 Amenazas de Seguridad Backdoor Bomba fork Hijacker Keystroke o Keyloggers Párasito Informático

44 Amenazas de Seguridad Phishings Pornware Rabbit Rootkit Spam Pop-Ups Bomba Lógica Cookies (Malas) Trampas y/o Inocentadas

45 Mecanismos de Seguridad Cifrado Autorización Autenticación Auditoría

46 Mecanismos de Seguridad Derecho a la intimidad Elaboración de perfiles Dispositivos biométricos Uso de VPN Uso de certificados de autoridad

47 Mecanismos de Seguridad Antivirus Firewall Anti-Spyware Anti-Rootkits Parches (Service Pack) Configuraciones Trucos, Trucos y más trucos

48 Mecanismos de Seguridad Hacer copias de seguridad Habilitar las zonas de seguridad Utilizar antivirus y dos firewalls* Control para padres Utilización de sockets seguros (SSL)

49 Mecanismos de Seguridad Emplear claves difíciles de acordar.* Comprobar el estado del sistema operativo. Comprobación del estado del hardware Evitar descargas de archivos. IDS Sistemas Detector de Intrusos Utilización de Proxys

50 Generalities of Physical Area Security No sobrecargar los circuitos eléctricos y cordones de extensión. Asegurarse que el voltaje combinado no exceda la capacidad de los circuitos. Tener un extintor de fuegos tipos C. No utilizar ningún tipo de electrodoméstico dentro del site.

51 SGSI No tomar líquidos dentro del site. No fumar. Tener letreros de seguridad. No situar equipos en sitios altos para evitar caídas. No colocar equipos cerca de ventanas.

52 Logical and Confidential Security Logical Security is focused in provide a serie of controls with the objective of asurrance an information asset. Example of Logical Control is a paper motion (trade) when a user must do for obtaining a product or service in the company.

53 Sistema de Gestión de Seguridad de la Información

54

55 Criptography Es un control de seguridad enfocado en la confidencialidad e integridad de la información. Consiste en cambiar un mensaje original por otro con la finalidad de que dicho mensaje no pueda ser modificado o visualizado de forma sencilla. El criptoanálisis estudia el proceso de descifrar los mensajes poniéndolos en su forma original, o bien tratando de romper la seguridad.

56 Criptografía Existen varios algoritmos de cifrado cayendo en el área de simétricos y asimétricos. ¿Qué diferencia existente entre ellos? En los simétricos la misma clave se utiliza para cifrar y descifrar el mensaje. En los asimétricos se utilizan llaves distintas siendo el esquema más generalizado el PKI (Public Key Infrastructure)

57 Cesar Ciphred Consist in the transposition of n positions of character in the alphabet. For example: Plain Text: Hola mundo K = 3 Cipher Text: Krod pxqgr Es un cifrado sencillo del tipo simétrico.

58 Problem A message crypted from terrorisms was intercepted by some students of Instituto Tecnologico de Morelia. Your mission is decrypted the next cipher text using an analysis of character frecuencies. The first student whose break the message has 100, second 95, third 90, etc. 5 points less in each place.

59 Problem Cipher Text:

60 Staff Security It’s important guaranted the security of all the members of a company. Physical security is extremely important in organisations which have business process with high risk. For example a helmet in the building business. All controls include a business regularization for using with employees and how can they must use the enterprise resources

61 Security Assesment Examples We present some study cases in Security Assesment. The object is obtain competences in this field.

62 Ejercicio 2 Entre los incidentes más recientes en el Hospital Santa Cecilia se cuentan los siguientes: Se han detectado numerosos equipos a los cuales los empleados le han instalado aplicaciones como “Hotbar” y “Messenger Plus”. Otros tienen instalados utilerías que les permiten ver la temperatura de la ciudad en su desktop. Sin embargo, estas aplicaciones son “shareware” y no están soportadas.

63 Ejercicio 2 Se han reportado clientes del hospital notificando la recepción de un mail con una liga que les solicita la actualización de los datos para ingresar al portal del Laboratorio. El hospital nunca ha enviado mensajes de ese tipo. Su portal de banca electrónica estuvo sobrecargado durante dos días imposibilitando a sus clientes acceder al mismo.

64 Ejercicio 2 Existe software no licenciado instalado en los equipos del hospital. Un empleado de sistemas fue despedido y en represalia copió el archivo de contraseñas de acceso al sistema de información de pacientes. Se detectó virus en diversos equipos a pesar de contar con software antivirus instalado.

65 Ejercicio 2 Se han detectado accesos no autorizados a los sistemas. ¿Qué eventos de los explicados en la sesión han afectado al hospital? ¿Con base en tu experiencia que harías para corregir esta situación?

66 Ejercicio 3 Identifica qué principio y activo es el más importante para cada una de las siguientes organizaciones. Justifica tu respuesta. Secretaría de Hacienda Ejército Empresa farmacéutica Amazon.com Sistema de Escolar de una Universidad

67 Ejercicio 3 Sistema de emergencias telefónica 066 Su equipo de cómputo personal. Banco Carrier de telecomunicaciones. Coca Cola.

68 Ejercicio 4 La empresa Alfa-2030 ha estado trabajando en los últimos años desarrollando servicios on-line de seguros de todo tipo para empresas. Su negocio está basado en transacciones en Internet a través de su portal de Internet donde los clientes realizan todas sus transacciones como contratación de los seguros, pagos electrónicos en línea, renovaciones, reclamaciones, cancelaciones, etc.

69 Ejercicio 4 Esta empresa ha experimentado desde hace meses ciertos incidentes en materia de seguridad de información, que a continuación se describen: Recién se ha creado el equipo de seguridad de información de la empresa, sus procesos operativos de Seguridad son incipientes (respaldos de información, manejo de capacidad, controles de acceso lógico, etc.).

70 Ejercicio 4 La tecnología para proteger la seguridad de información ha estado poco ausente de hecho este equipo de Seguridad ha iniciado con planes de adquirir tecnologías. El presidente de la empresa ha solicitado a un experto en seguridad de información que estime los riesgos para cada una de las siguientes amenazas:

71 Ejercicio 4 Acceso no autorizado a la información de los clientes. Software malicioso que afecte a los principales sistemas de la empresa Denegación de servicios a su portal de Internet

72 Ejercicio 4 A partir del caso anterior, escriba un reporte donde determine los riesgos (niveles) para cada una de las amenazas descritas, tendrá que justificar sus respuestas en cuanto a describir las vulnerabilidades y sus impactos. De manera adicional, escriba un reporte, donde mencionen al menos 5 controles de Seguridad de información que mitiguen las amenazas descritas en este caso.

73 Ejercicio 5 La empresa Alfa-2030 ha decidido iniciar con un programa formal de Seguridad de información como una función importante y su propio presupuesto en la organización, Ricardo Aranguren ha sido nombrado como Director de Seguridad de Información dependiendo en forma directa de la Dirección General, de momento sólo se la ha asignado a tres personas para esta nueva función.

74 Ejercicio 5 Lo primero que la dirección genera le ha solicitado al Director de seguridad de información es establecer una política específica del uso del e-mail dado que han ocurrido últimamente incidentes en el mismo tales como virus y gusanos que han causado pérdidas al negocio, además hay personal que al parecer abusa de este servicio haciendo mal uso del mismo.

75 Ejercicio 5 Escribe un reporte con está política especifica con un mínimo de 6 párrafos (cuerpo de la política). Asegúrate que este documento contenga estas secciones: Antecedentes Objetivo Cuerpo del documento Responsabilidades Definición de términos

76 Ejercicio 6 La empresa Alfa-2030 ha estado trabajando en los últimos años desarrollando servicios on-line de seguros de todo tipo para empresas. Su negocio está basado en transacciones en Internet a través de su portal de Internet donde los clientes realizan todas sus transacciones como contratación de los seguros, pagos electrónicos en línea, renovaciones, reclamaciones, cancelaciones, etc.

77 Ejercicio 6 El Director general ha solicitado realizar un plan de trabajo para desarrollar los procedimientos operativos de Seguridad de información para su portal de Internet. Se debe realizar un reporte que seleccione la prioridad del desarrollo de los siguientes procedimientos operativos (justifiquen su respuesta):

78 Ejercicio 6 Procedimientos de respaldos de Información Procedimientos de control de acceso lógico a la información Procedimientos de control de cambios Procedimientos de control de software malicioso

79 Ejercicio 7 EL Hospital “El Milagro” ha estado desarrollando actividades en el medio por más de 5 años, el director del Hospital le ha llamado a un equipo especializado en seguridad de información debido a que se ha sentido frustrado por haber invertido mucho dinero en seguridad de información sin tener resultados positivos. EL director en una entrevista mencionó lo siguiente (en resumen):

80 Ejercicio 7 El área de seguridad depende del área de redes Al parecer nunca le alcanza al Hospital el dinero que se solicita para inversiones en el área de seguridad. Los usuarios de los sistemas de información tienen la impresión que la función de seguridad nunca los ha tomado en cuenta.

81 Ejercicio 7 El gasto de inversión en equipos de seguridad como Firewalls, licencias de antivirus, detectores de intrusos, etc. se ha disparado. Al parecer estos equipos no han sido efectivos dado que han ocurrido incidentes de Seguridad y no se ha protegido al Hospital de estos impactos causados. Hace poco un auditor externo mencionó que no vio ningún procedimiento operativo de seguridad.

82 Ejercicio 7 El encargado de redes batalla mucho para que le apruebe los proyectos el Hospital dado que el lenguaje que usa es muy técnico. Realizar un comentario que brinde consejos al Director General para poder ir armando la estrategia de la función de Seguridad de Información, favor de justificar sus respuestas.

83 Ejercicio 7 De manera adicional se deben realizar las siguientes actividades: Visión de seguridad de información (a 5 años) Misión de seguridad de información Que dimensión será la más relevante en un Hospital (Disponibilidad, confidencialidad, Integridad, autenticidad y no repudiación) Establecer 5 objetivos de seguridad de información.

84 Ejercicio 8 Retomando el caso del Hospital Santa Cecilia y de acuerdo a la información proporcionada en el mismo realiza lo siguiente: Escribe una política de seguridad corporativa (Máximo tres párrafos). Identifica tres políticas específicas que consideras deben de desarrollarse.

85 Ejercicio 8 Lista tres recomendaciones que harías a los empleados del hospital en cuanto a: Respaldo de información Correo electrónico Manejo de usuarios y contraseñas Uso de equipo de cómputo.

86 Friends and enemies: Alice, Bob, Trudy well-known in network security world Bob, Alice (lovers!) want to communicate “securely” Trudy (intruder) may intercept, delete, add messages secure sender secure receiver channel data, control messages data Alice Bob Trudy

87 30.87 Figure 30.1 Cryptography components

88 30.88 Figure 30.2 Categories of cryptography

89 30.89 Figure 30.3 Symmetric-key cryptography

90 30.90 Figure 30.4 Asymmetric-key cryptography

91 30.91 Figure 30.5 Keys used in cryptography

92 30.92 Figure 30.6 Comparison between two categories of cryptography

93 30.93 Figure 30.7 Traditional ciphers

94 Symmetric key cryptography substitution cipher: substituting one thing for another –monoalphabetic cipher: substitute one letter for another plaintext: abcdefghijklmnopqrstuvwxyz ciphertext: mnbvcxzasdfghjklpoiuytrewq Plaintext: bob. i love you. alice ciphertext: nkn. s gktc wky. mgsbc E.g.: Q: How hard to break this simple cipher?:  brute force (how hard?)  other?

95 Symmetric key crypto: DES DES: Data Encryption Standard US encryption standard [NIST 1993] 56-bit symmetric key, 64-bit plaintext input How secure is DES? –DES Challenge: 56-bit-key-encrypted phrase (“Strong cryptography makes the world a safer place”) decrypted (brute force) in 4 months –no known “backdoor” decryption approach making DES more secure: –use three keys sequentially (3-DES) on each datum –use cipher-block chaining

96 Figure 30.13 DES

97 Figure 30.16 Triple DES

98 8: Network Security8-98 Public key cryptography symmetric key crypto requires sender, receiver know shared secret key Q: how to agree on key in first place (particularly if never “met”)? public key cryptography r radically different approach [Diffie-Hellman76, RSA78] r sender, receiver do not share secret key r public encryption key known to all r private decryption key known only to receiver

99 8: Network Security8-99 Public key cryptography plaintext message, m ciphertext encryption algorithm decryption algorithm Bob’s public key plaintext message K (m) B + K B + Bob’s private key K B - m = K ( K (m) ) B + B -

100 8: Network Security8- 100 Digital Signatures cryptographic technique analogous to hand- written signatures. sender (Bob) digitally signs document, establishing he is document owner/creator. verifiable, nonforgeable: recipient (Alice) can prove to someone that Bob, and no one else (including Alice), must have signed document

101 8: Network Security8- 101 Digital Signatures simple digital signature for message m: Bob “signs” m by encrypting with his private key K B, creating “signed” message, K B (m) - - Dear Alice Oh, how I have missed you. I think of you all the time! …(blah blah blah) Bob Bob’s message, m public key encryption algorithm Bob’s private key K B - Bob’s message, m, signed (encrypted) with his private key K B - (m)

102 8: Network Security8- 102 Digital Signatures (more) suppose Alice receives msg m, digital signature K B (m) Alice verifies m signed by Bob by applying Bob’s public key K B to K B (m) then checks K B (K B (m) ) = m. if K B (K B (m) ) = m, whoever signed m must have used Bob’s private key. + + - - -- + Alice thus verifies that: üBob signed m. üNo one else signed m. üBob signed m and not m’. non-repudiation: Alice can take m, and signature K B (m) to court and prove that Bob signed m. -

103 8: Network Security8- 103 Public Key Certification public key problem: When Alice obtains Bob’s public key (from web site, e- mail, diskette), how does she know it is Bob’s public key, not Trudy’s? solution: trusted certification authority (CA)

104 8: Network Security8- 104 Certification Authorities Certification Authority (CA): binds public key to particular entity, E. E registers its public key with CA. –E provides “proof of identity” to CA. –CA creates certificate binding E to its public key. –certificate containing E’s public key digitally signed by CA: CA says “This is E’s public key.” Bob’s public key K B + Bob’s identifying information digital signature (encrypt) CA private key K CA - K B + certificate for Bob’s public key, signed by CA - K CA (K ) B +

105 8: Network Security8- 105 Certification Authorities when Alice wants Bob’s public key: –gets Bob’s certificate (Bob or elsewhere). –apply CA’s public key to Bob’s certificate, get Bob’s public key Bob’s public key K B + digital signature (decrypt) CA public key K CA + K B + - K (K ) B +

106 8: Network Security8- 106 A certificate contains: Serial number (unique to issuer) info about certificate owner, including algorithm and key value itself (not shown) r info about certificate issuer r valid dates r digital signature by issuer

107 8: Network Security8- 107 Pretty good privacy (PGP) Internet e-mail encryption scheme, de-facto standard. uses symmetric key cryptography, public key cryptography, hash function, and digital signature as described. provides secrecy, sender authentication, integrity. inventor, Phil Zimmerman, was target of 3-year federal investigation. ---BEGIN PGP SIGNED MESSAGE--- Hash: SHA1 Bob:My husband is out of town tonight.Passionately yours, Alice ---BEGIN PGP SIGNATURE--- Version: PGP 5.0 Charset: noconv yhHJRHhGJGhgg/12EpJ+lo8gE4vB3mqJ hFEvZP9t6n7G6m5Gw2 ---END PGP SIGNATURE--- A PGP signed message:

108 Cryptanalysis Some common symmetric-key cryptographic algorithms.

109 RSA An example of the RSA algorithm.

110 Communication Security IPsec Firewalls* Virtual Private Networks Wireless Security SSL

111 802.11 Security Packet encryption using WEP.

112 Security Control Classification Check ISO 17799 – 27001 Physical Logical Technical (Access Control / Network Security)

113 What’s this? Codification:.-..- -.... - ---.-....- /.. -...-. ---.-. --.- -.. -.-..- /

114 Data and Software Application Security The data security is the most important in all organizations. Data security only can be achived with software security. One kind of software security is oscurantism. This mechanism consist of hidden information. For example a Web server runs in 80 TCP Port but we can configure in other port. Open Source code is other better example of these.

115 Oscurantism It’s very important don’t use default settings. For example in a computer network (IP Addresses) can be in 192.168.1.0/24. Some services executed with pre-setting configuration like MySQL server, user root and password in blank. A logical control and access control must be required for a correct secuirty of data.

116 Competence 2 Setup a service with oscurastims (no only change port) and non defult-settings configurations.

117 Control for Software Applications Assesment

118 Control for avoiding crime and informatic frauds

119 Contingency Plan, Insurance, Procedures of Backup Disasters

120 Techniques and Tools related with physical and staff security.

121 Techniques and Tools related with data and software application security.

122 Referencias Morales, R. (2008) Curso de Seguridad Informática, SI040001, ITESM. González, H. (2008), Curso de Seguridad Informática II, UNID Sede Morelia.

123 Referencias Date, C. (2001) Introducción a los Sistemas de Bases de Datos, Séptima edición, Capítulo 16 Seguridad, Pearson Educación, pp. 504-536. McPherson, F. (2005), Pocket PC a su Alcance, 3ra. Edición, McGraw-Hill, México, 2005, ISBN: 970-10-4731-1.

124 Referencias Elmasri, R. y Navathe S. (2000) Sistemas de Bases de Datos, 2da. Edición. Capítulo 20 Seguridad, Addison-Wesley 200, México, pp. 599-613, ISBN: 968-444-399-4. Tanenbaum, A. y Van Steen, M. (2007). Distributed Systems. Principles and Paradigms, Segunda edición, Capítulo 9 Seguridad, Pearson Education, Estados Unidos, pp. 377-442, ISBN: 0-13-239227-5.

125 referencias Guerrero, R. (2008). Proyecto de Comunicación Telefónica VoIP en Gobierno del Estado de Michoacán, Tesina de Titulación. Watters, P (2005) Solaris 10 The Complete Reference, McGraw-Hill Osborne, Estados Unidos, ISBN: 0-07-222998-5.

126 Referencias Coulouris, G., Dollimore, J. y Kindberg, T. (2001). Sistemas Distribuidos, Capítulo 7 Seguridad, pp. 235-289, ISBN: 84-7829-049- 4. Nyhus, R. (2008). Redes y Redes Inalámbricas. PC Cuadernos, España. Facundo, H. (2007). Revista USERS LinuxSeguridad, número 24 pp. 24-37.

127 Referencias Froufe, A. y Jorge, P. (2004) J2ME Java 2 Micro Edition, Alfaomega Ra-Ma, México, ISBN: 970-15-1022-4. Millán, R. (2006). Domine las Redes P2P, Alfaomega, España, ISBN: 970-15-1206-5. Velte, T. (2008). Manual de Cisco, Cuarta Edición, McGraw-Hill, México, ISBN: 978- 970-10-5927-2

128 Referencias Stallings, W. (2004) Comunicaciones y Redes de Computadoras, Séptima Edición, Pearson Prentice Hall, España, ISBN: 84-205-4110-9. Nichols, R. y Lekkas, P. (2003) Seguridad para Comunicaciones Inalámbricas, McGraw- Hill, España, ISBN: 84-481-3782-5. Shah, S. (2001) Manual de Administración de Linux, Osborne McGraw-Hill, España, ISBN: 84-481-2892-3

129 Referencias Gómez, A. (2007). Enciclopedia de la Seguridad Informática, Alfaomega, México, ISBN: 978-970-15-1266-1. McNab, C. (2004). Seguridad de Redes. Anaya Multimedia O’Reilly, España, ISBN: 84-415-1751-1

130 References Senft, S. And Gallegos, F. (2008) Information Technology Control and Audit, Third Edition, CRC Press, United States

131 ¿Preguntas?