Seguridad de los sistemas informáticos
Guia de estudio Necesidad de protección de la información Vulnerabilidad de los sistemas informáticos Medidas de seguridad, servicios y mecanismos Políticas de seguridad. AR y PC Seguridad física Seguridad lógica Esquemas y protocolos de seguridad
Necesidad de protección Lectura en clase Aportes de la clase Conclusión
Vulnerabilidad de los sistemas informáticos. Amenazas y Ataques Bienes informáticos sensibles Software, Hardware y Datos Bienes no intrínsicamente informáticos. Ej Amenazas, según su origen Errores accidentales Empleados infieles, desleales o descontentos Desastres naturales o provocados Agresiones de terceros
Vulnerabilidad de los sistemas informáticos. Amenazas y Ataques De la amenaza al hecho: Violaciones de un Sistema Intercepción: acceso no autorizado a proceso Modificación: Intercepción + Cambios Interrupción: parcial o total Generación: Agregar código a los prg., registros a una BD, mensajes no autorizados, etc
Vulnerabilidad de los sistemas informáticos. Amenazas y Ataques Ataques a los bienes informáticos Hardware Software Datos: Criptografía. Principio de temporalidad (proteger el datos mientras tenga valor)
Medidas de seguridad, servicios y mecanismos Lógicas Físicas Administrativas Legales ¿?
Propiedades fundamentales a considerar (ITSEC)* g a Confidencialidad Usuarios autorizados Integridad Información o falsa Accesibilidad Quien accede y cuando lo hace Autenticidad Origen y destino Imposibilidad de rechazo No alegar ante tercero que no recibio o envio *Information Thecnology Security Evaluation Criteria
Servicios de seguridad Sistemas de cifrado: simétricos y asimétricos Proporcionan Confidencialidad Autenticidad Sistemas de comprobación de integridad Utilizan funciones de resumen y garantizan la integridad Mecanismos de autenticidad Impiden la duplicidad
Política de seguridad. AR y PC Plan de Seguridad Análisis de riesgos Valoración de los daños Costo de las medidas de seguridad
Analisis de Riesgos Beneficios: Fases Aumentar la desconfianza Identificación de bienes, vulnerabilidades y controles Aumento de conocimientos básicos para la toma de decisiones Justificación de erogaciones/gastos de seguridad Fases Identificación y clasificación de riesgos Pronóstico y evaluación de las consecuencias Estimación de la probabilidad de ocurrencia Evaluación de la exposición al riesgo
Fase del AR: Identificación y clasificación de riesgos Identificación de los bienes Hardware Software Datos Personal Documentación Identificación y clasificación de los riesgos Sobrecarga, destrucción, robo, copiado, perdida, etc,…
Inventario de bienes y riesgos a que están sometidos Cuales son los efectos de los desastres naturales? Cuales son los efectos de los intrusos externos? Cuales son los efectos de los empleados malintencionados?
Fase del AR: Pronostico y evaluación de las consecuencias Que ocurre si el sistema queda inutilizado totalmente? Que ocurre si determinados ficheros se destruyen parcial o totalmente? Que ocurre si se produce una copia no autorizada de datos?
Fase del AR: Estimación de la probabilidad de ocurrencia y Evaluación de la exposición al riesgo E = Daño * Probabilidad de ocurrencia Que riesgos contribuyen en forma significativa la exposición total de sistema? Una vez identificado el riesgo, podemos: Prevenirlo: minimizar su probabilidad de ocurrencia Retenerlo: minimizar sus consecuencias (plan de recupero) Transferirlo: seguro de perdidas, convenios con otros usuarios, etc.
PC: Plan de contingencias Realizar el AR Implantar sistemas de protección física Implantar sistemas de protección lógica Confección de un plan de emergencia Realizar un plan de recupero Elaboración de documentación Verificación e implantación del plan Distribución y mantenimiento del plan
Seguridad Física - Amenazas Desastres Naturales Inundaciones Incendios Terremotos …. Accidentes no provocados Caídas de tensión Calor / Humedad … Acciones malintencionadas Atentados, sabotajes, hurtos, interferencias electromagnéticas,…
Seguridad Lógica - SL En el software de usuario En el Sistema Operativo En la Base de Datos En las Redes
SL – El rol de la criptografía Identificar que componentes criptográficos hay Que tipos de criptosistemas Justificación de su existencia Rol de la criptografía en el sistema
SL – Software de Usuario Acceso no autorizado a datos Programas con puerta de escape Caballos de troya Programas ataques salami Programas con canales ocultos Programas voraces Bucles Virus y gusanos
SL – Software de Usuario Medidas y técnicas de seguridad Medidas: Profilácticas Subdivisión de tareas, reutilización de código, utilización de herramientas estándares, organización de tareas, entre otras aportadas por la IS Técnicas: Revisiones cruzadas Modularidad, encapsulado y sombreado (Qué y no Cómo) Pruebas independientes Gestión de configuración – Control de Cambios
SL – Software de Base Identificación y autenticación de usuarios Modelos de seguridad (Sujeto-Objeto) Discrecional Matriz de accesos de objetos, sujetos y tipos de accesos Obligatoria – No discrecionales Establecen los canales por donde fluyen la información Modelo BLP (Bell-La Padula)
SL – Bases de datos El problema de la Inferencia Bases estadísticas El problema multinivel Grandes almacenes de datos con diferentes niveles de confidencialidad y numerosos usuarios autorizados, cada uno con niveles distintos de autorización.-
SL – Redes de computadoras La seguridad en la red Uso de cifrado en la red Cifrado de enlace Cifrado nodo a nodo La seguridad de las comunicaciones Medios físicos de transmisión Escucha pasiva/activa
Esquemas y protocolos de seguridad Autenticidad e Integridad Firma Digital Métodos Con arbitro Firma digital ordinaria Usos