La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Conceptos y Prácticas de Seguridad Informática

Publicada porRubén Vega Toledo Modificado hace 8 años

Presentaciones similares

Presentación del tema: "Conceptos y Prácticas de Seguridad Informática"— Transcripción de la presentación:

1 Conceptos y Prácticas de Seguridad Informática
Antonio Sanz – Tecnologías de Red aplicables al comercio electrónico

2 Indice Seguridad Informática Conceptos básicos Requisitos de Seguridad
Tipos de amenazas Herramientas de seguridad Plan de Seguridad Prácticas básicas

3 Al finalizar la charla sabrá...
Conocer el pensamiento de Seguridad Conocer al enemigo Conocer los ataques Conocer las herramientas Conocer las defensas

4 Seguridad Informática
Sistema Seguro “Un sistema es seguro si en todo momento se comporta como lo desea su propietario” Áreas de Seguridad Informática Sistemas Operativos (Windows, Linux, Mac ) Aplicaciones ( IIS, Apache, Word ) Redes ( LAN, WAN, WLAN ) Datos ( LOPD ) Fisica ( alarmas, controles de acceso )

5 Conceptos básicos (I) Seguridad absoluta Seguridad mesurada
Inexistente Objetivo : Agotar los recursos del enemigo (moral, tiempo o dinero) Seguridad mesurada Asignar recursos de forma eficiente

6 Conceptos básicos (II)
Seguridad vs Usabilidad Balanza peligrosa (cuidado con los extremos) Objetivo: Lograr un equilibrio satisfactorio Mínimo privilegio Todos los recursos de la red deberán solo los permisos necesarios para cumplir su tarea

7 Conceptos básicos (III)
Seguridad en profundidad No depender de un solo elemento Modelo de seguridad en capas Seguridad mediante oscuridad Dificulta los ataques Nunca debe confiarse únicamente en ella

8 Conceptos básicos (IV)
Seguridad Homogénea La seguridad de un sistema es la del eslabón más débil Cuidar todos los aspectos de la seguridad Seguridad Evolutiva Campo cambiante a gran velocidad Es necesario mantenerse al día

9 Requisitos de seguridad (I)
Control de Acceso Confidencialidad Integridad Disponibilidad Se deberán establecer los requisitos deseados para cada sistema El objetivo final de la Seguridad es cumplir dichos requisitos

10 Requisitos de seguridad (II)
Control de Acceso / Autenticación Identificación de los elementos que acceden a nuestro sistema Asignación de los permisos de cada elemento de la red Confidencialidad La información es valiosa Impedir el acceso no autorizado

11 Requisitos de seguridad (III)
Integridad / No repudio Impedir la manipulación de la información Identificación unívoca Disponibilidad Los servicios deben estar siempre activos 24 x 7 x 365 x ...

12 Tipos de amenazas Tipos de atacantes Ataques realizables Posibles daños

13 Tipos de atacantes (I) Hacker
Hack: 1) Cortar en tajos. 2) Encontrar una solución eficaz y brillante a un problema Hacker: Persona con abundantes conocimientos de informática y redes, que explora (o penetra en) sistemas por puro reto Hacker = Intruso malvado  Incorrecto. Blanco / Negro  Diversos tonos de gris

14 Tipos de atacantes (II)
Cracker: ( Doble definición ) Persona que rompe códigos de protección (“cracks”) “Hacker” que penetra en sistemas en beneficio propio (monetario, social o por pura diversión destructiva) Conocimientos extensos de seguridad Definitivamente, “el lado oscuro

15 Tipos de atacantes (III)
Script Kiddies Conocimientos básicos de seguridad Pueden causar graves daños (herramientas precocinadas) Newbies Principiantes, conocimientos básicos de seguridad Lamers Conocimientos nulos de informática

16 Identificación del sistema o fingerprinting
Tipos de ataques (I) Identificación del sistema o fingerprinting Búsqueda de información pública Ingenieria social Barrido de puertos o portscanning Análisis de equipos y servicios

17 Análisis de vulnerabilidades
Tipos de ataques ( II ) Análisis de vulnerabilidades Con la información obtenida, se buscan vulnerabilidades correspondientes a los Sistemas Operativos y servicios existentes en el sistema Penetración en el sistema Explotación de una vulnerabilidad en el sistema  cabeza de puente Acciones automáticas: camuflaje y expansión

18 Tipos de ataques ( III ) Intercepción de contraseñas
Rotura de contraseñas (fuerza bruta) Falsificación de la identidad Robo de información Destrucción de datos Denegación de servicio

19 Posibles daños Robo de Información Pérdida de datos
Disrupción del servicio Pérdida de imagen Posible responsabilidad legal

20 Herramientas de Seguridad (I)
Herramientas que permiten verificar o aumentar el nivel de seguridad de un sistema Usadas tanto por atacantes como defensores Gran variedad: gratuitas, comerciales, bajo Linux, Windows, etc...

21 Herramientas de Seguridad (II)
Cortafuegos o firewalls Ejercen un control sobre el tráfico entrante y saliente a un sistema Hardware & Software Ej: IpTables, Firewall-1, Cisco PIX Detectores de intrusos o IDS Detectan posibles ataques en un sistema, pudiendo activar alarmas o ejercer respuesta coordinada Ej: Snort, Real Secure

22 Herramientas de Seguridad (III)
Verificadores de la integridad Permiten detectar la manipulación de un sistema Ej: Tripwire Analizadores de logs Permiten procesar de forma automática los logs de un sistema en tiempo real y emitir alarmas Ej: Swatch, LogWatch

23 Herramientas de Seguridad (IV)
Analizadores de puertos Barren una red en busca de máquinas y servicios activos Ej: nmap, PortScan, fport Detectores de vulnerabilidades Analizan una red en busca de vulnerabilidades conocidas Ej: Nessus, Cybercop Scanner, ISS, Saint

24 Herramientas de Seguridad (V)
Sniffers Capturan el tráfico que circula por una red (contraseñas y datos, por ejemplo) Ej: Ethereal, Sniffer, Iris, Analyzer Password crackers Utilizan técnicas de diccionario y fuerza bruta para obtener las contraseñas de acceso a un sistema Ej: LC3, Crack, John the Ripper

25 Herramientas de Seguridad (VI)
Troyanos Programas que se instalan en un sistema de forma no deseada Ej: Back Oriffice , SubSeven. Rootkits Programas destinados a facilitar la ocultación y expansión de un intruso

26 Libros y enlaces de interés
Criptonomicón: SecurityFocus: Kriptópolis: Hispasec: CERT: SecurityPortal: Phrack: Insecure.org “Seguridad Práctica en Unix e Internet” , 2ª Ed.Simson Garfinkel & Gene Spafford - O’Reilly “Hacking Exposed 3rd Edition” - Stuart McClure – McGraw Hill (La 2ºEd en castellano: “Hackers 2” – Stuart McClure – McGraw Hill “Seguridad en Servidores NT/2000 para Internet” – Stefan Norberg, Deborah Russell – O’Reilly “Seguridad y Comercio en el Web” - Simson Garfinkel & Gene Spafford - O’Reilly “Building Internet Firewalls” – Chapman & Zwicky, Ed. O’Reilly

27 Dudas, preguntas, aclaraciones, pipas, caramelos...
¿?

28 Prácticas básicas de Seguridad Informática
Antonio Sanz – Responsable de Seguridad Informática Tecnologías de Red aplicables al comercio electrónico

29 Indice Introducción y Objetivos Prácticas básicas Bibliografía y enlaces de interés

30 Introducción Internet : Evolución vertiginosa Conexión fácil, barata y rápida Gran cantidad de inversión en desarrollo de negocio Internet Escasa inversión en seguridad Muy poca conciencia de seguridad

31 Objetivos Obtener un buen nivel de seguridad en nuestro sistema Aplicable tanto a una red corporativa como a un usuario casero Se aplica perfectamente la ley del 80/20  20% del esfuerzo = 80% de seguridad

32 Seguridad: Topología Tener en cuenta la seguridad a la hora de diseñar una red Cortafuegos / Routers con filtrado (boxes & cortafuegos personales) Separar los servidores de la LAN Sistemas de seguridad critica aparte

33 Seguridad : Backups Aspecto vital de la seguridad Medios de backup baratos Copias incrementales (diarias, semanales y mensuales) Imágenes de los SO

34 Seguridad : Parches Aspecto muy importante  Ataque = sistema o programa no actualizado Mantener los equipos parcheados siempre que sea posible Integrarlo dentro del mantenimiento del equipo Muy importante en servidores

35 Seguridad : Antivirus Antivirus en TODO el sistema
Actualización constante Características especiales  Usarlas Scan de virus periódico y automatizado Formación antivirus a los usuarios

36 Seguridad : Cortafuegos
Cortafuegos: Principal barrera de defensa de un sistema informático ( = muro de un castillo medieval) Instalar un cortafuegos entre nuestra red e Internet Cortafuegos personales  interesantes para equipos personales o móviles

37 Seguridad : Correo electrónico
Principal fuente de entrada de virus Educación de los usuarios: No abrir ficheros adjuntos desconocidos Preguntar al remitente la razón del fichero Utilizar el antivirus Abrir únicamente .jpg .gif .txt .html Nunca abrir .exe .bat .vbs .ini Emplear cifrado Tener cuidado con los webmails

38 Seguridad : Navegación web
Contraseñas almacenadas en el navegador Información sensible  protección SSL Control de cookies & web bugs Navegación anónima

39 Seguridad :Otros programas de comunicaciones
Programas de chat Programas de mensajería instantánea (Messenger, Yahoo Pager, ICQ) Programas de intercambio multimedia

40 Seguridad : Física & Operativa
Salvapantallas protegido por contraseña Arranque desde el disco duro únicamente Protección de la BIOS con contraseña Gestión de contraseñas Empleo de cifrado interno

41 Seguridad : Formación Internet  cambios muy rápidos Importante estar al día Apoyo de la dirección Concienciación de los usuarios

42 Conclusiones Importancia Necesidad Concienciación Aplicación efectiva Evolución

43 Enlaces de interés Información sobre cookies:
Más información acerca de SSL: Cómo añadir SSL a su servidor Web: Windows + IIS : Linux + Apache : Cómo obtener un certificado digital: Salvapantallas para Linux: Cortafuegos Box: Cómo montar un cortafuegos con Linux: Cómo poner ACL en router Cisco: Información sobre virus: Comparativas de software antivirus: PGP Internacional ( Windows y Mac ): GnuPG ( Unix/Linux, Windows y Mac ): Configuración segura de su navegador web:

44 Enlaces de interés Protección del LILO en el arranque:
Gestor de contraseñas: PgpDisk: Últimas versiones del Mirc , ICQ & Messenger : Jabber: (pasarela IM) Algunos cortafuegos personales: Cómo hacer un backup: Linux – Amanda : Windows – Backup : Cómo hacer una imagen de su equipo: Criptonomicón: SecurityFocus: Kriptópolis: Hispasec: CERT: SecurityPortal:

45 Última oportunidad de satisfacer su curiosidad...
Preguntas Última oportunidad de satisfacer su curiosidad... ¿?

46 Planes de Seguridad Informática
Antonio Sanz – Tecnologías de Red aplicables al comercio electrónico

47 Indice Introducción Problemática de Seguridad Definición de un Plan de Seguridad Ciclo de vida de un PdS Aspectos a tratar en un Pds

48 Problemática de Seguridad
Ideológica Estructural Tecnológica

49 Problemática de Seguridad ( II )
Ideológica No obstaculizar el proceso de negocio Nadie se hace responsable de los riesgos Se actúa de modo reactivo, nunca preventivo No se conoce el estado real de seguridad

50 Problemática de Seguridad ( III )
Estructural Falta de responsabilidades establecidas No hay normas definidas No homogeneidad de los sistemas No existe una asignación de recursos de seguridad

51 Problemática de Seguridad ( IV )
Tecnológica No se conoce la propia red No se conoce la Tecnología de Seguridad Sensación de Falsa Seguridad

52 Problemática de Seguridad ( V )
Conclusiones: Existe una clara falta de conocimiento de Seguridad Nadie quiere gastar dinero en Seguridad La Seguridad se ve como un estorbo Poco apoyo de la dirección Mal vista por parte de los usuarios

53 Problemática de Seguridad ( VI )
Argumentos a favor de la Seguridad: La Seguridad es cada día más importante ( ) Inversión en Seguridad = Póliza de Seguros Cortafuegos = Extintor

54 Problemática de Seguridad ( VII )
La Seguridad no es cara ni complicada Una red segura es mucho más eficiente y robusta  es más rentable Hacia la dirección  Convicción Hacia los usuarios  Concienciación

55 Plan de Seguridad Plan de Seguridad : “ Conjunto de normas, políticas y procedimientos destinados a satisfacer unas necesidades de seguridad de un entorno definido”

56 Un Plan de Seguridad permite:
Plan de Seguridad ( II ) Un Plan de Seguridad permite: Analizar las necesidades de seguridad Detectar los elementos críticos Valorar los riesgos Diseñar medidas de seguridad Metodología modular : sencilla y completa

57 Plan de Seguridad ( III )
Claves del éxito: Sencillez y claridad Conseguir el apoyo de la dirección Involucrar a toda la organización Plantear beneficios, no problemas Delimitar responsabilidades y deberes

58 Ciclo de vida un PdS Evaluación Análisis Diseño Implantación Auditoría Realimentación

59 Recopilación de todos los recursos del entorno:
PdS: Evaluación Recopilación de todos los recursos del entorno: Hardware: PC’s, routers, cintas magnéticas Software: Comercial, gratuito, open source Datos: Proyectos, BBDD, nóminas Personal: Empleados, know how Varios: Imagen pública, posición de mercado, reconocimiento

60 PdS: Evaluación ( II ) Fase inicial  Muy importante ser exhaustivo Evaluar la funcionalidad de cada uno de los elementos dentro del entorno Ayuda: Creación de tablas

61 Ej: Servidor central Ej: Prestigio de marca PdS: Evaluación ( III )
Hardware, guarda la BBDD de la Intranet, en la sala de datos, el Administrador de la Intranet Ej: Prestigio de marca Varios, muestra el éxito de nuestro empresa, en todas partes, toda la empresa ( o Dep. Márketing )

62 PdS: Análisis de riesgos
Para cada recurso se hace una lista de los posibles riesgos : Robo No disponibilidad Copia / Publicación Uso indebido Destrucción

63 PdS: Análisis de riesgos ( II )
Valoración de las amenazas Se puntúa de 1 (mínima) a 10 (máxima) : Facilidad de ejecución Impacto en el recurso Amenaza real = Media entre Facilidad e Impacto Sirve para ordenar las amenazas

64 PdS: Análisis de riesgos ( III )
Ej: Alienígenas abducen una semana al Departamento de Informática Impacto: 8, Facilidad: 0  Amenaza = 4 Ej: Ladrón roba copias de seguridad y prende fuego al edificio Impacto: 10, Facilidad = 6  Amenaza = 8

65 PdS: Análisis de riesgos ( IV )
Valoración de costes. Se calcula: CR : Coste de Reparación PO : Probabilidad de Ocurrencia CP : Coste de Prevención Si CR x PO > CP  Es un riesgo a minimizar Si CR x PO < CP  No sale rentable Ayuda = Tabla organizadora a) Mayor que el coste de prevención

66 PdS: Análisis de riesgos ( V )
Ej: Riesgo de incendio CR = 10M, PO = 0.01, CP = 10K (extintor) CR x PO = 100K > 10K  Se previene Ej: Godzilla arrasa la ciudad CR = 10M, PO = , CP = 10M (centro de backup) CR x PO = 10 < 10M  Se asume el riesgo

67 PdS: Análisis de riesgos ( VI )
Opciones posibles: Eliminar el recurso Diseñar una contramedida Asumir el riesgo Contratar un seguro Opciones más comunes: 2) y 3)

68 PdS: Diseño de contramedidas
Objetivo: Eliminar, controlar o minimizar los riesgos identificados, y prevenir en la medida de lo posible riesgos futuros Fase más importante del PdS Lenguaje mixto Técnico / Humano Áreas predeterminadas

69 PdS:Diseño de contramedidas (II)
Copias de Seguridad Antivirus Usuarios Contraseñas Parches y updates Seguridad de las comunicaciones Logs Administración de equipos Contingencias Incidencias de Seguridad Formación Seguridad Física

70 PdS: Implementación Imprescindible apoyo de la dirección (asignación efectiva de recursos) Implicación de TODA la organización Metodología: Convencer, no imponer (mano de seda, guante de hierro)

71 PdS: Auditoría Objetivo: Comprobar que las contramedidas han sido eficazmente aplicadas, y que realizan su función Interna o Externa Auditoría de Seguridad o del PdS Mejora el PdS y asegura su eficacia

72 PdS: Realimentación PdS  Renovación constante Asignación de recursos necesaria Se adapta a los cambios de la empresa

73 ¿ Dónde están las dudas, matarile rile rile ?
¿?

74 Muchas gracias por su tiempo
Antonio Sanz –

Descargar ppt "Conceptos y Prácticas de Seguridad Informática"

Presentaciones similares

CONTENIDOS 2. Objetivos de la seguridad informática

CONTENIDOS 2. Objetivos de la seguridad informática
Juan Antonio Pérez-Campanero Atanasio

Juan Antonio Pérez-Campanero Atanasio
SEMINARIO DE AUDITORÍA INTEGRAL

SEMINARIO DE AUDITORÍA INTEGRAL
SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
SEGURIDAD EN REDES DE DATOS

SEGURIDAD EN REDES DE DATOS
Control Interno Informático. Concepto

Control Interno Informático. Concepto
SEGURIDAD EN INTERNET EQUIPO No. 1 TELECOMUNICACIONES II Seguridad de Redes Seguridad de Redes Protección al proceso mediante el cual la información es.

SEGURIDAD EN INTERNET EQUIPO No. 1 TELECOMUNICACIONES II Seguridad de Redes Seguridad de Redes Protección al proceso mediante el cual la información es.
Firewalls COMP 417.

Firewalls COMP 417.
Contorles de Auditoría Informática Básicos Ing. Elizabeth Guerrero V.

Contorles de Auditoría Informática Básicos Ing. Elizabeth Guerrero V.
Administración de la seguridad Software y hardware, redes y seguridad: Administración de la seguridad.

Administración de la seguridad Software y hardware, redes y seguridad: Administración de la seguridad.
DETECCIÓN DE INTRUSOS rodríguez García Juan Carlos 3812

DETECCIÓN DE INTRUSOS rodríguez García Juan Carlos 3812
Auditoria Informática Unidad II

Auditoria Informática Unidad II
SEGURIDAD INFORMÁTICA

SEGURIDAD INFORMÁTICA
Introducción a la Seguridad de la información

Introducción a la Seguridad de la información
Tema 3 – Técnicas de Acceso Remoto y Seguridad Perimetral

Tema 3 – Técnicas de Acceso Remoto y Seguridad Perimetral
LA SEGURIDAD EN LAS TIC ©VEROKILA2009.

LA SEGURIDAD EN LAS TIC ©VEROKILA2009.
Estrategia de seguridad ante Amenazas Persistentes Avanzadas

Estrategia de seguridad ante Amenazas Persistentes Avanzadas
Auditoría de Sistemas y Software

Auditoría de Sistemas y Software
© Deloitte 2005. Todos los derechos reservados Estudio sobre Seguridad de la Información en los Medios de Prensa Escrita Zaragoza, 25 de noviembre de 2005.

© Deloitte Todos los derechos reservados Estudio sobre Seguridad de la Información en los Medios de Prensa Escrita Zaragoza, 25 de noviembre de 2005.
SEGURIDAD DE REDES ALEJANDRO ZAMBRANO CEDENO. La seguridad informática consiste en asegurar los recursos del sistema de información (material informático.

SEGURIDAD DE REDES ALEJANDRO ZAMBRANO CEDENO. La seguridad informática consiste en asegurar los recursos del sistema de información (material informático.

Presentaciones similares

Anuncios Google