Seguridad en Sistemas de Información Carmen R. Cintrón Ferrer - 2011-15, Derechos Reservados

Introducción ¿Por qué estoy en este seminario? ¿Cuál es el interés de Sagrado? ¿Qué pueden aportar las tecnologías de información en la protección de Sagrado? ¿Qué debo contribuir para lograrlo? Carmen R. Cintrón Ferrer, 2011-15, Derechos Reservados

Introducción Administro, custodio y/o utilizo recursos Contribuyo al manejo efectivo de riesgos Colaboro en implantar: Visión (Cultura Corporativa de Seguridad) Políticas, procedimientos y estándares Controles objetivos, uniformes y continuos Registro de vulnerabilidades y/o incidentes Generar informes Anticipar escenarios Facilitar la recuperación o restauración Carmen R. Cintrón Ferrer, 2011-15, Derechos Reservados

Ejercicio 1 Incidentes como los ocurridos en: Evento Tipo de evento Escenarios NASA (Houston) Virginia Tech Alabama University TJ Max Administración de Veteranos New Orleáns Haití/Chile WikiLeaks ¿Podrían ocurrir en Puerto Rico? ¿Podrían ocurrir en Sagrado? ¿Se pueden evitar? ¿Reducir su impacto? Carmen R. Cintrón Ferrer, 2011-15, Derechos Reservados

Ejercicio 1 - Riesgos Riesgo = (Amenaza*Vulnerabilidad/Estrategias o Medidas)*Valor Vulnerabilidades prevenibles Amenazas previsibles Intención anticipable ¿Cultura de seguridad? Carmen R. Cintrón Ferrer, 2011-15, Derechos Reservados

Módulo Introducción - Tipos de ataques Físicos: Vandalismo Robo Interceptación Comunicación: Impostura Adulteración de tráfico, mensajes Fisgonear (“Eavesdropping”) Penetración: Escáners Negación de Servicios (DoS) Código malicioso (virus) Ingeniería social: Robo de claves (“passwords”) Robo de información Abrir documentos (“attachments”) Carmen R. Cintrón Ferrer, 2011-15, Derechos Reservados

Módulo Introducción - Tipo de atacantes “Hackers”: Intencionales Técnicos excepcionales Empleo de rutinas (“scripts”) “Crackers” “White hackers” Agrupaciones Virus: Codificadores Distribuidores “Script Kiddies” Criminales: Robo de identidad Extorsión Robo de propiedad: intelectual industrial Empleados: Sabotaje Oportunidad (valores) Consultores y contratistas Terrorismo cibernético: Ataca infraestructuras Actuación concertada (gob/ind) Carmen R. Cintrón Ferrer, 2011-15, Derechos Reservados

Módulo Introducción - Respuesta Compromiso Gerencial: Alta gerencia debe asignar alta prioridad Asignar recursos requeridos Integrar a las operaciones diarias Poner en vigor (“enforce”) medidas Enfoque integral: Considerar todas las áreas de riesgo Identificar todas las vulnerabilidades posibles Establecer múltiples niveles de protección Auditar y fiscalizar continuamente Carmen R. Cintrón Ferrer, 2011-15, Derechos Reservados

Conceptos básicos Recursos de información (def) Seguridad (def) Riesgos (clasif) Arquitectura de seguridad (modelo) Carmen R. Cintrón Ferrer, 2011-15, Derechos Reservados

Recursos de Información (Definición) Personal técnico y su conocimiento Equipo de tecnología informática Hardware Software Network Depósitos de datos/información o conocimiento Procedimientos apoyados mediante tecnología Infraestructura de comunicación y conexión Otras tecnologías asociada * Carmen R. Cintrón Ferrer, 2011-15, Derechos Reservados

Seguridad de los Recursos de información (Definición) Conjunto de medidas Adoptadas para prevenir o limitar: el uso o acceso indebido la adulteración, eliminación o divulgación De los activos informáticos críticos De una organización Carmen R. Cintrón Ferrer, 2011-15, Derechos Reservados

Seguridad de los Recursos de información (Objetivos) Confidencialidad Impedir el acceso no autorizado Integridad Evitar la contaminación o modificación indebida Disponibilidad Permitir el acceso autorizado Validación (“Non Repudiation”) Evitar el que se repudien mensajes o actos Asegurar que éstos se mantengan íntegros Carmen R. Cintrón Ferrer, 2011-15, Derechos Reservados

Seguridad de los Recursos de información (Etapas o Niveles) Física Comunicación (interceptación) Tecnología informática (“reliable”) Perfil del usuario (criterios para acceso) Redes (confiabilidad) Recursos de Información * Carmen R. Cintrón Ferrer, 2011-15, Derechos Reservados

¿Puedes identificarlos? ¿Conoces los riesgos? ¿Puedes identificarlos? Carmen R. Cintrón Ferrer, 2011-15, Derechos Reservados

Seguridad de los Recursos de información (Riesgos típicos) Uso indebido Amenazas internas Amenazas externas Fallas en la infraestructura: Hardware Software Network Conexión * Carmen R. Cintrón Ferrer, 2011-15, Derechos Reservados

Riesgos de seguridad - Uso indebido Abuso de privilegios Acceder y/o adulterar: Datos Documentos/información Procesos Modificar privilegios de acceso o seguridad Intentos de lograr acceso a: Servicios Servidores Aplicaciones Bancos de datos no disponibles Divulgar datos/documentos/información confidencial o protegida * Carmen R. Cintrón Ferrer, 2011-15, Derechos Reservados

Riesgos de seguridad – Amenazas internas Empleados: Involuntariamente (error o negligencia) Intencionalmente (disgustados, despedidos) Empleados comprometidos (informantes) Ex- empleados Contratistas, temporeros, otros Asociados: Clientes Proveedores o “business partners” * Carmen R. Cintrón Ferrer, 2011-15, Derechos Reservados

Riesgos de seguridad - Amenazas externas Código maligno Virus, worms, logic bombs, spam, spyware, bots Violadores cibernéticos Hackers/Crackers Ingeniería social Social engineering Pérdida de credibilidad Brand equity Adulterar la sede virtual Graffiti Interrupción de servicios Denial of service: Dummy transactions that overload target server Packet flooding Distributed DoS * Carmen R. Cintrón Ferrer, 2011-15, Derechos Reservados

Políticas/Estándares Cultura de Seguridad Gestión Estrategias Tecnologías Información Personal Prácticas Políticas/Estándares Modelo de Seguridad Carmen R. Cintrón Ferrer, 2011-15, Derechos Reservados

Modelo de Seguridad - Cultura de Seguridad Comprende: Gente Procedimientos y Tecnologías Promueve cambio en actitudes: Reactiva @ proactiva Proactiva @ predictiva Planifica para que los activos de información: Estén acequibles Se integren a las funciones del negocio Respalden el desarrollo de nuevos productos/procesos Estén protegidos (minimizar los riesgos que afrontan) Carmen R. Cintrón Ferrer, 2011-15, Derechos Reservados

Modelo de Seguridad Estrategias de Seguridad Tecnologías de seguridad: Firewalls y sistemas de monitoreo Antivirus & protección contra malware Políticas y procedimientos: Uso de las tecnologías de información Identificación y Claves de acceso Protección de datos y confidencialidad de documentos Copias de resguardo Configuración de sistemas Investigación de personal Plan de concienciación (“Awareness”) Equipo de respuesta a emergencias (CERT/CSIRT) Carmen R. Cintrón Ferrer, 2011-15, Derechos Reservados

Modelo de Seguridad Principios de una Cultura de Seguridad Es responsabilidad gerencial proteger los activos informáticos de la organización. El acceso se basa en necesidad: Persona Accede Información Cuando la necesita La protección se enfoca por niveles Las estrategias de mitigación está basadas en costo efectividad Los procesos propenden a la confiabilidad (“reliability”) y replicación Hay consecuencias asociadas al incumplimiento Carmen R. Cintrón Ferrer, 2011-15, Derechos Reservados

Modelo de Seguridad - Gestión gerencial Proteger los activos de información Garantizar (CIA): Confidencialidad Integridad Disponibilidad Asegurar los activos de información (“Information Assurance”) Facilitar continuidad de operaciones Cumplimiento con legislación aplicable Carmen R. Cintrón Ferrer, 2011-15, Derechos Reservados

Manejo de Riesgos Carmen R. Cintrón Ferrer, 2011-15, Derechos Reservados

Mecanismos de protección - Riesgos y amenazas Intencionales: Empleados o contratistas Hacer daño, afectar imagen o interumpir operaciones Beneficio o lucro personal Represalia Negligencia: Ignorancia Uso indebido Falta de adiestramiento Falta de actualización o protección Falta de mantenimiento Falta de fiscalización monitoring Carmen R. Cintrón Ferrer, 2011-15, Derechos Reservados

Mecanismos de protección - Riesgos y amenazas Naturales: Fuego Terremoto Inundaciones o filtraciones Tormentas o tornados Accidentales (Incidentes fuera de nuestro control, o actos sin intención): Interrupción o desconexión de servicios Desaparición o destrucción de archivos Carmen R. Cintrón Ferrer, 2011-15, Derechos Reservados

Riesgos y amenazas - Inherentes a la tecnología Fallos en Hardware debidos a: Diseño Construcción Instalación Desgaste natural Fallos en Software: Errores de programación Instalación o integración Uso indebido Fallos en la red: Arquitectura Errores de programación, Instalación o integración y Uso indebido Carmen R. Cintrón Ferrer, 2011-15, Derechos Reservados

Riesgos y amenazas - Externos a la organización Delitos: Vandalismo Robo/hurto Apropiación ilegal Vigilancia electrónica “Computer tresspass” Hackers/Crackers ataque intencional para incursionar: Redes Servidores Dispositivos Computadoras Virus: Programas que se propagan para afectar: Servidores o computadoras Borrar archivos o colmar la memoria (RAM/Discos) Antivirus y Bloqueadores de virus Carmen R. Cintrón Ferrer, 2011-15, Derechos Reservados

¿Cuántos riesgos conoces? Carmen R. Cintrón Ferrer, 2011-15, Derechos Reservados

Escenarios Spyware (CompTiA A+) Trojans & Worms Bots Phishing IdTheft Steganography P2P PDF EXE Social Engineering Facebook & Google Film downloading Music/Film sharing Online Piracy – IP Web cams Extorsion Notebooks & laptops Cellular phones (Malware) Carmen R. Cintrón Ferrer, 2011-15, Derechos Reservados

Ejercicio 2 Identifique algunos riesgos de seguridad asociados a las Tecnologías de información Clasifique y ordene los riesgos a base de probabilidad del evento y a base del impacto Provea recomendaciones para evitar el evento y/o atenuar su impacto Carmen R. Cintrón Ferrer, 2011-15, Derechos Reservados

Ejercicio 2 Riesgos Tecnologías de Información Probabilidad Recomendación Carmen R. Cintrón Ferrer, 2011-15, Derechos Reservados

Ejercicio 2 Riesgos Tecnologías de Información Identificar y valorar activos informáticos Identificar posibles riesgos Identificar áreas de vulnerabilidad Estimar riesgos reales Calcular posible impacto Identificar medidas de protección Estimar posible reducción en impacto Determinar riesgos a cubrir y riesgos asumir Revisar las medidas de protección según respuesta a incidentes acaecidos Carmen R. Cintrón Ferrer, 2011-15, Derechos Reservados

Ejercicio 2 Riesgos Tecnologías de Información Factores Riesgo A Riesgo B Riesgo C Riesgo D Costo de ataque exitoso $500K $10K $100K Probabilidad ocurra 80% 20% 5% 70% Severidad del impacto $400K $2K $5K $7K Costo medida correctiva $3K $20K Valor de proteger $300K ($1K) ($13K) ¿Aplico medida? Prioridad Tomado de: Panko, Corporate and Computer Security, Fig. 1-9, p.36 Carmen R. Cintrón Ferrer, 2011-15, Derechos Reservados

Mecanismos de Protección Carmen R. Cintrón Ferrer, 2011-15, Derechos Reservados

Tecnología de Redes Mecanismos de protección Riesgos y amenazas Tecnologías de seguridad: ¿Para qué? ¿Cómo? Otras consideraciones Mecanismos de protección Control y Claves de Acceso “passwords” Copias de resguardo Servicios de batería (“UPS”) Sistemas sin interrupción (“Fault tolerant”) Herramientas tecnológicas Carmen R. Cintrón Ferrer, 2011-15, Derechos Reservados

Seguridad de los Recursos de información (Validación de acceso) “Validación intenta asegurar que logran acceso quienes deben tener derecho para las funciones o los procesos autorizados.” Autenticar Autorizar Acceder Carmen R. Cintrón Ferrer, 2011-15, Derechos Reservados

Seguridad de los Recursos de información (Autenticar) “Autenticar implica asegurar que identificamos correctamente a quién solicita acceso, o sea verificar que realmente es quien asevera ser.” Kerberos Tokens Biometrics Certificates * Carmen R. Cintrón Ferrer, 2011-15, Derechos Reservados

Seguridad de los Recursos de información (Autorizar) “Autorizar regula para qué se nos permite el acceso. Depende de la(s) función(es) o rol(es) y del nivel de confianza en la conexión.” Centralización (“Web single sign-on”) Role based access control Proxies * Carmen R. Cintrón Ferrer, 2011-15, Derechos Reservados

Seguridad de los Recursos de información (Acceder) “Acceder es permitir llegar hasta los recursos de información protegidos en la confianza que el autorizado hará un buen uso.” Balance delicado de riesgos Bitácora de transacciones Fiscalización de uso autorizado Carmen R. Cintrón Ferrer, 2011-15, Derechos Reservados

Tecnologías de seguridad ¿Para qué las tecnologías de seguridad? Proteger los recursos importantes/sensitivos Imponer controles de acceso, según las políticas Administrar los roles, según grupos de usuarios Fiscalizar el acceso y el uso de los recursos Prevenir ataques, interrupciones e intrusos Reducir o mitigar el impacto de éstos Carmen R. Cintrón Ferrer, 2011-15, Derechos Reservados

Tecnologías de Seguridad ¿Cómo integrar las tecnologías de seguridad? Fijar políticas relativas al control de acceso Enumerar recursos críticos Para cada recurso crítico: Determinar el nivel de sensibilidad Decidir quién debe tener acceso Definir para qué (Roles) debe tener acceso Determinar cómo va a implantarse el control Planificar cómo integrar esas determinaciones en: Firewall y otras tecnologías de seguridad Auditorías y pruebas internas periódicas Carmen R. Cintrón Ferrer, 2011-15, Derechos Reservados

Tecnologías de seguridad Otras consideraciones para integrarlas Nivel y medio de autenticación: Claves y #’s PIN Tarjetas, Tokens Biométricas Políticas y controles sobre medios de autenticación Procesos de control sobre usuarios privilegiados Control relativo a archivos y algoritmos de cifrado (“encryption”) Estándares e integración de: Redes inalámbricas Tecnologías móviles colaboradores (Extranet/EDI/VPN) Carmen R. Cintrón Ferrer, 2011-15, Derechos Reservados

Mecanismos de protección Control y claves de acceso (“Passwords”) Funciones: Protegen la red al exigir identificación (autenticación) Protegen de acceso indebido a recursos en de la red Mantener protegidos por el usuario Almacenar en sitio seguro con acceso limitado Renovar frecuentemente (45-90 días) Combinar 8 caracteres numéricos y alfanuméricos Variantes: Individuales Grupales Por dispositivo o recurso Carmen R. Cintrón Ferrer, 2011-15, Derechos Reservados

Mecanismos de protección Control y claves de acceso (“Passwords”) Funciones: Controlan acceso a archivos, directorios o dispositivos Identifican tipo de autorizaciones para navegar Identifican tipo de protocolos a utilizar Tipos de privilegios: “Read” “Execute” “Write” “Delete” “Search” “No Access” Carmen R. Cintrón Ferrer, 2011-15, Derechos Reservados

Mecanismos de protección Copias de resguardo (“Backups”) Tipos de copias de resguardo: “Full backup” – copia todos los archivos en la red “Selective backup” – copia archivos seleccionados “Incremental backup” – copia archivos modificados Estrategias de copiar: Funciones críticas Riesgos de pérdida Frecuencia/volumen de cambio en datos Itinerario de copias de resguardo: Automático/Manual Horario Carmen R. Cintrón Ferrer, 2011-15, Derechos Reservados

Mecanismos de protección Servicios de batería (“UPS”) Funciones: Provee energía temporera al ocurrir interrupción Evita daños a servidores, conectores y dispositivos en la red El tiempo de operación lo determina la carga y demanda Puede complementarse con planta generadora alterna Protege contra fluctuaciones (“surge/spike”) Tipos de UPS: “standby” – al notar interrupción provee energía (“delay”) “line-interactive” – acondiciona corriente y se activa con interrupción “online” – continuamente activo y acondiciona corriente (“no delay”) Programación de administración: Permite fiscalizar operación del UPS Provee respaldo para desactivar automáticamente aplicaciones y dispositivos Carmen R. Cintrón Ferrer, 2011-15, Derechos Reservados

Ejercicio AAA Integren el grupo y distribuyan roles Seleccionen la organización a evaluar Utilicen las listas de cotejo I-IV Añadan preguntas necesarias para cubrir los tres criterios (AAA), conforme el rol asignado Resuman sus hallazgos Carmen R. Cintrón Ferrer, 2011-15, Derechos Reservados

Seguridad de los Recursos de información (Herramientas de control) “Administrar el uso adecuado.” Políticas de acceso y seguridad Tecnología para implantar controles Tecnología para operaciones Servicios de seguridad Carmen R. Cintrón Ferrer, 2011-15, Derechos Reservados

Políticas de seguridad Clasificación de la información: Pública Privada (organización) Particular (privada de clientes o terceros) Confidencial Políticas para segmentar grupos Políticas para autenticar usuarios Procedimientos para manejo de: Configuración y control Medidas aseguren cumplimiento Amenazas o incidentes de riesgo Carmen R. Cintrón Ferrer, 2011-15, Derechos Reservados

Políticas de seguridad Importancia de las políticas de seguridad Necesidad de agrupar tipos de usuarios Contenido de las políticas de seguridad Formato de las políticas de seguridad Implantación y cumplimiento Responsabilidad Carmen R. Cintrón Ferrer, 2011-15, Derechos Reservados

Seguridad de los Recursos de información diversos enfoques (Vídeos) SANS – Securing the Human (www.securingthehuman.org) End User Awareness Training: Modules 1( You are the target) @ Module 21 (Senior Leadership) Module 31 (Ethics) Module 39 (EU Data Protection) Module 41 (Privacy) Developer Awareness Training: Modules 00 (Introduction) @ Module 09 (Using Known Vulnerable Components) Phishing Simulator: The Human Phishing Solution What is Phishing? GetSafeOnline (https://www.getsafeonline.org/video) Phishing, Vishing Protect your PC, Protect your ID Safe Social Networkking * Carmen R. Cintrón Ferrer, 2011-15, Derechos Reservados

Seguridad de los Recursos de información Otros Vídeos Conciencia de riesgos y amenazas – A Day in the Life of IT Security CyberSecurity 101 – NOVA-PBS CyberSecurity History, Threats and Solutions Protección de la información Backups y otros consejos Correo electrónico y Spam Cyberbullying & Hate Crimes Conexiones inalámbricas Adiestrar empleados y Mantener Área de trabajo * Carmen R. Cintrón Ferrer, 2011-15, Derechos Reservados

Seguridad de los Recursos de información diversos enfoques (Sites) SANS Organization (www.sans.org) OnGuard (http://www.onguardonline.gov/) StaySafeOnline (https://www.staysafeonline.org/) Business Safe Online – Re:Cyber Implement a Cyber Security Plan ISC2 Foundation (https://www.isc2cares.org/) IndustryResearch- Global Security Information Studies Mindful Security (http://mindfulsecurity.com/) Security Innovation (https://www.securityinnovation.com/index.php) * Carmen R. Cintrón Ferrer, 2011-15, Derechos Reservados

Seguridad de los Recursos de información (Tecnología para implantar controles) “Control complementa los actos bien intencionados del personal técnico que considera los recursos informáticos seguros .” Firewalls Virtual private networks Secure sockets layer (SSL/TLS) Public key infrastructure (PKI) * Carmen R. Cintrón Ferrer, 2011-15, Derechos Reservados

Seguridad de los Recursos de información (Tecnología para operaciones) “Fiscalización complementa las herramientas de control en la protección de los recursos informáticos.” Administración de usuarios Detección de intrusos Control de propagación de virus Escudriñar vulnerabilidades * Carmen R. Cintrón Ferrer, 2011-15, Derechos Reservados

Seguridad de los Recursos de Información (Servicios de seguridad) “Control complementa los actos bien intencionados del personal técnico que considera los recursos informáticos seguros .” Administración de riesgos Arquitectura de seguridad Configuración e implantación Administrar servicios y tecnología (24x7x365) Acción(es) de respuesta * Carmen R. Cintrón Ferrer, 2011-15, Derechos Reservados

Seguridad de los Recursos de información (Requerimientos de Seguridad Militar) Seguridad por niveles: Clasificación de los documentos y datos: “Unclassified” “Secret” “Top Secret” “For your eyes only” “Burn before reading” Segregación de redes: “Non-secure” “Highly secure” “Non connected Black (secret) computer – air gap” Seguridad Nacional: Alta inversión de recursos frente a riesgos poco probables Carmen R. Cintrón Ferrer, 2011-15, Derechos Reservados

¿Estoy preparad@? Carmen R. Cintrón Ferrer, 2011-15, Derechos Reservados

Ejercicio 3 – nivel de concienciación IDTheft Laptop P2P Social networking Spam Spyware Wireless 7 Practices Carmen R. Cintrón Ferrer, 2011-15, Derechos Reservados

Tecnologías móviles Carmen R. Cintrón Ferrer, 2011-15, Derechos Reservados

Tecnología de Redes Redes Inalámbricas Carmen R. Cintrón Ferrer, 2011-15, Derechos Reservados

Tecnología de Redes Redes Inalámbricas Teléfonos celulares PDA’s & IPAD’s Notebooks & Laptops Unidades portátiles (USB) Estaciones o periferales (WNIC’s) Puntos de contacto o conexión (WPA) Puntos de distribución Protocolos de comunicación (WAP) Medios transmisión (GSM/EVDO/3G) Carmen R. Cintrón Ferrer, 2011-15, Derechos Reservados

Redes inalámbricas (Ventajas) Bajo costo Fácil instalación de WLAN’s Fácil ampliación Red alámbrica Integración de equipo móvil (PDA’s/Celulares) Amplio acceso y acceso en movimiento Carmen R. Cintrón Ferrer, 2011-15, Derechos Reservados

Redes inalámbricas (Desventajas) Riesgos de seguridad Alto costo de administración Dificultad para regular usuarios/servicios Capacidad limitada de ancho de banda Punto de vulnerabilidad - Red alámbrica Punto de congestión – Red alámbrica Carmen R. Cintrón Ferrer, 2011-15, Derechos Reservados

¿Cómo contrarrestar los riesgos? Carmen R. Cintrón Ferrer, 2011-15, Derechos Reservados

Seguridad de sistemas Planificación del proceso Auditar programa Avalúo Proceso de seguridad Adiestrar Adoptar políticas Implantar el programa Carmen R. Cintrón Ferrer, 2011-15, Derechos Reservados

Seguridad de sistemas Respuesta Implantar el ciclo de Seguridad (PPR): Planificar - (“Planning”) Proteger - (“Protecting”) Responder - (“Responding”) Carmen R. Cintrón Ferrer, 2011-15, Derechos Reservados

Sistemas de seguridad Implantar el ciclo de Seguridad (PPR) Proteger: Implantar mecanismos: Firewalls Detección de intrusos Fortalecer servidores y otros Actualizar: Versiones y parchos Ajustar ante nuevos riesgos Validar: Pruebas y auditorías Planificar: Plan Integral (sin brechas) Análisis de riesgos: Enumerar Determinar severidad Determinar impacto $ Priorizar Adopción de políticas: Tecnologías Procedimientos Carmen R. Cintrón Ferrer, 2011-15, Derechos Reservados

Seguridad de sistemas Implantar el ciclo de Seguridad (PPR) Responder: Planificar proceso (CERT) Detección y atención de incidentes: Proceso a seguir (IDS) Determinación ataque/incidente Descripción/documentación Contención y recuperación: Detener ataque/incidente Recuperar del impacto/daño(s) Medidas correctivas y preventivas: Forenses (“Computer forensics”) Procesamiento criminal Medidas disciplinarias a empleados Corregir la vulnerabilidad o áreas de exposición Carmen R. Cintrón Ferrer, 2011-15, Derechos Reservados

Seguridad de Sistemas - Integración Políticas correo electrónico Políticas de seguridad (1) Uso de correo electrónico Protección contra virus Control del spam Procedimientos (2): Configuración servidor Control acceso a cambios Configuración cuentas Tecnología (3): Servidor seguro Reglas en Firewall Reglas en Proxy Programación antivirus/antispam Pruebas de seguridad (4) Intento de violentar política de e-correo 3 Tecnologías Procedimientos Sistema seguro Pruebas Intento de violar pólítica de e-correo Carmen R. Cintrón Ferrer, 2011-15, Derechos Reservados

¡GraCIAS POR SU ATENCIÓN! Carmen R. Cintrón Ferrer, 2011-15, Derechos Reservados

Referencias Panko, Corporate Computer and Network Security, Prentice Hall, 2004 Tanenbaum, Computer Networks Maiwald, Network Security, Osborne, 2001 Proctor & Byrnes, The secure enterprise Schenk, Wireless LAN Deployment Gast, Seven security problems of 802.11 Wireless Bolles, Wireless (In)security: Are your networks snoop-proof? (CIO Insight July 2002) Trilling, How to tighten loose security in wireless networks? (Computerworld Feb.12,2003) daCruz, Safe networking computing (Columbia U., Sep 2001) McHugh,Christie & Allen, The role of intrusion detection systems (IEEE Software, Sep/Oct 2000) Allen, et als., Improving the security of Networked systems (STSC Crosstalk Oct, 2000) www.80211-planet.com: Wireless Privacy: An Oxymoron (April 26, 2001) Carmen R. Cintrón Ferrer, 2011-15, Derechos Reservados

Referencias SANS Institute - various EDUCAUSE Evolving Technologies Committee: Overview of Security (Oct 2002) EDUCAUSE Mid-Atlantic Regional Conference: Measuring the success of wireless CERT: Internet Security Issues (May 2000) CERT: Security of the Internet (1997) CERT: Home computing security (2002) CERT: Organized crime and cyber-crime (2002) Carmen R. Cintrón Ferrer, 2011-15, Derechos Reservados

Glosario de términos Tecnología inalámbrica Access point (AP/WAP) Bluetooth (Personal wireless LAN) Dynamic frecuency selection/dynamic channel selection (DFS/DCS) Extensible authentication protocol (EAP) Global system for mobile communications (GSM) Wireless Access Protocol (WAP) Wireless LAN (WLAN – 802.11x) Wireless Transport layer security (WTLS) Wired equivalent privacy (WEP) Wireless Ethernet compatibility alliance (WECA) Carmen R. Cintrón Ferrer, 2011-15, Derechos Reservados

Glosario de términos Tecnología inalámbrica (2) “Spoofing” “Hijacking session” Basic Service Set (BSS) Open systems authentication (OSA) Service set identifier (SSID) Shared key authentication (SKA) Virtual private network (VPN) High Performance Radio LAN (HIPERLAN) Integrity Check Vector (ICV) Initialization Vector (IV) Medium Access Control (MAC) Carmen R. Cintrón Ferrer, 2011-15, Derechos Reservados