La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Ciencia y tecnología de la Información y las Comunicaciones III

Publicada porSens Vega Modificado hace 10 años

Presentaciones similares

Presentación del tema: "Ciencia y tecnología de la Información y las Comunicaciones III"— Transcripción de la presentación:

1 Ciencia y tecnología de la Información y las Comunicaciones III
Universidad Distrital Francisco José de Caldas Facultad de Ingeniería Programa curricular de Ingeniería de Sistemas Semestre II Ciencia y tecnología de la Información y las Comunicaciones III Docente: Gerald Breek Fuenmayor Rivadeneira Ingeniero de Sistemas Universidad Nacional de Colombia

2 Técnicas involucradas en la seguridad y control de Acceso
Síntesis de Exposiciones Técnicas involucradas en la seguridad y control de Acceso Iptables: Son espacios de tablas de Linux que almacenan reglas interpretadas por el kernel del sistema operativo, que permiten filtrar o redirigir paquetes entrantes o salientes entre distintas redes conectadas al servidor linux donde residen dichas reglas. Kerberos: Desarrollado por MIT, es un sistema que permite la asignación de vales (tickets) para la autenticación de usuarios y uso de recursos en un ambiente distribuido o C-S mediante criptografía simétrica (DES). Esto se hace con la ayuda de un KDC o centro de distribución de claves, como también un TGS (Sistema de gestión de vales), el cual se apoya en el anterior. PGP: Brivacidad Bastante Buena (Pretty Good Privacy) de Network Associates, Inc TM, es una técnica que permite principalmente la transmisión/recepción de mensajes de correo electrónico u otras aplicaciones de manera cifrada, paro lo cual se requiere que tanto el emisor como el receptor conozcan las claves y algoritmos para descifrar el contenido codificado. Usualmente trabaja con RSA (Rivest-Shamir-Adleman) como su algoritmo de criptografía asimétrica. RADIUS: (Remote Authentication Dial-In User Service) es un servicio muy utilizado para autenticar el acceso del usuario mediante un servidor que almacena de forma centralizada los datos de acceso del mismo. Usualmente se utiliza en comunicaciones punto a punto, por ejemplo al darse acceso a Internet a un usuario de un ISP. ACL: las listas de acceso (access list) son reglas que usualmente permiten el filtrado de paquetes. Su configuración se suele hacer el enrutadores, o servidores de cortafuegos o proxys. X.509: Es un recomendación de la UIT que define un marco de trabajo para la autenticación por medio de claves públicas. Para ello se definen los formatos de los certificados de clave pública, de atributos y las listas de certificados revocados (CRL). Define la autenticación sencilla y la fuerte (ISO ).

3 Técnicas involucradas en la seguridad y control de Acceso
LDAP: (Lightweight Directory Access Protocol), es un protocolo cliente servidor basado en características básicas de X.500, para el acceso a servidores de directorio. Reconocimiento de Patrones físicos: Presenta mecanismos que con ayuda de características físicas como la voz, el tacto, la cornea, etc. Permiten la autenticación de un usuario en un sistema dado. Hoy existe toda una teoría y técnicas computacionales y de electrónica que trabajan en esta área. SSH: Secure Shell es un protocolo para el registro remoto de forma segura, también usado para otros servicios que requieran comunicación segura en una red insegura. Utiliza un tres componentes: protocolo de capa de transporte, de autenticación de usuario y de conexión. El último corre sobre el anterior y así sucesivamente. SSL: Secure Sockets Layer es un protocolo que ofrece encripción de extremo a extremo orientada a la conexión para proveer integridad y confidencialidad entre clientes y servidores. SSL trabaja bajo HTTP y puede encapsular cualquier aplicación. Para ello trabaja por encima de un protocolo confiable de transporte, aunque muchas aplicaciones podrían trabajar mejor con IPSec. La versión 3 está siendo supedidata por TLS (seguridad en la capa de transporte) versión 1.

4 Técnicas involucradas en la seguridad y control de Acceso
PKI: Infraestructura de clave pública. Integra todas las técnicas basadas en el uso de claves públicas y certificados, como PGP, RSA, X.509, SSH, etc. Centinela: Son dispositivos hardware integrado con firmware que habilitan el uso de una aplicación. IPSec: Es una arquitectura que especifica un conjunto de protocolos y algoritmos que trabajan a nivel de red. Más adelante se profundizará en el tema. VPN: Red privada virtual. Es una red lógica que funciona sobre una real y física mediante la encripción de la información. Esta técnica reduce costos en la medida que se aprovecha los recursos de la red pública. AAA: Es una arquitectura que facilita el servicio de autenticación, autorización y contabilidad. Un ejemplo común es RADIUS.

5 Estándares en Administración de Seguridad
RFC 2196 : Site Security Handbook (IETF) BS 7799 Information Security Management (British Standards Institute) BS Code of Practice for ISM BS Specifications for ISM Systems Certificación: ISO/IEC 17799:2005 Information technology - Security techniques - Code of practice for information security management ISO/IEC 27001:2005 Information technology - Security techniques - Information security management systems - Requirements

6 Estándares en Administración de Seguridad
ISO 20000 Parte 1: ISO/IEC : Especificación. (Preparada por BSI como BS ) Parte 2: ISO/IEC : Código de Prácticas. (Preparada por BSI como BS ) ITIL (Biblioteca de Infraestructura de TI ) IT Govenance Institute

7 Estándares en Administración de Seguridad
Manual de protección de TI en Alemania (Baseline Protection Manual) 10/2000 OECD Guidelines for the Security of Information Systems and Networks: Towards a Culture of Security Organisation for Economic Co-operation and Development

8 Estándares en Evaluación de la Seguridad
ISO (Common Criteria for Information Technology Security Evaluation) Basado en: ITSEC (UK i90), Canadian Criteria, US Federal Criteria (borrador / i90) Trusted Computer System Evaluation Criteria / 85 (TCSEC o Orange Book) – Rainbow Series CoBIT - Control Objectives for Information and related Technology. Information Systems Audit and Control Association®

9 Estándares para desarrollo de aplicaciones
CMM: Capability Maturity Model CMMI: Capability Maturity Model Integrated SSE-CMM: System Security Engineering

10 Estándares para servicios financieros
ISO – Banking and Related Financial Services – Sign-On Authentication ISO Banking and Related Financial Services – Information Security Guidelines

11 Otras normas o recomendaciones
Acquisition Risk Management (EU) Ley 527 de 1999

12 RFC 2196 1. Introduction 1.1 Purpose of this Work 1.2 Audience
1.3 Definitions 1.4 Related Work 1.5 Basic Approach 1.6 Risk Assessment. 2. Security Policies 2.1 What is a Security Policy and Why Have One 2.2 What Makes a Good Security Policy 2.3 Keeping the Policy Flexible 3. Architecture 3.1 Objectives 3.2 Network and Service Configuration 3.3 Firewalls Security Services and Procedures 4.1 Authentication 4.2 Confidentiality 4.3 Integrity 4.4 Authorization 4.5 Access 4.6 Auditing 4.7 Securing Backups 5. Security Incident Handling 5.1 Preparing and Planning for Incident Handling 5.2 Notification and Points of Contact 5.3 Identifying an Incident 5.4 Handling an Incident 5.5 Aftermath of an Incident 5.6 Responsibilities 6. Ongoing Activities 7. Tools and Locations 8. Mailing Lists and Other Resources 9. References

13 Estándar BS – 7799:2002 Componentes principales de un SGSI
Establecimiento del SGSI Implementación del SGSI Monitorear y revisar el SGSI Mantener y mejorar el SGSI

14 ISO/IEC 17799:2000 La seguridad de la Información se define en el estándar como la preservación de la confidencialidad (asegurando que sólo quienes estén autorizados pueden acceder a la información), integridad (asegurando que la información y sus métodos de proceso son exactos y completos) y disponibilidad (asegurando que los usuarios autorizados tienen acceso a la información y a sus activos asociados cuando lo requieran).

15 Las diez áreas de control de ISO 17799
Políticas de Seguridad Corporativa Organización de Seguridad Clasificación y Control de Activos Seguridad del Personal Seguridad Física y Ambiental Administración de Operaciones y Comunicaciones Control de Acceso Desarrollo y Mantenimiento de Sistemas Planes de Continuidad del Negocio (BCP) / Planes de Recuperación ante desastres (DRP) Cumplimiento de Normatividad Legal

16 La ISO 27001:2005 le permite: Diseñar una herramienta para la implementación del sistema de gestión de seguridad de la información teniendo en cuenta la política, la estructura organizativa, los procedimientos y los recursos. A la dirección gestionar las políticas y los objetivos de seguridad en términos de integridad, confidencialidad y disponibilidad. Determinar y analizar los riesgos, identificando amenazas, vulnerabilidades e impactos en la actividad empresarial. Prevenir o reducir eficazmente el nivel de riesgo mediante la implantación de los controles adecuados, preparando la organización ante posibles emergencias, garantizando la continuidad del negocio.

17 Etapas para obtener el Certificado ICONTEC de Gestión de la Seguridad de la Información:
Planificación. Se realiza un análisis documental (evaluación de riesgos, política, alcance, declaración de aplicabilidad y procesos) con respecto a los requisitos de la ISO Auditoría. El equipo auditor comprueba la implementación eficaz del Sistema de Gestión de la Seguridad de la Información de la empresa. Otorgamiento. Se otorga el certificado por un periodo de tres años. Seguimiento. Se efectúan auditorías de seguimiento con el fin de comprobar que se mantienen las condiciones que hicieron a la empresa merecedora de la certificación.

18 Baseline Protection Manual
4.3.4 Technical Infrastructure Rooms 4.4 Protective Cabinets 4.5 Working Place At Home (Telecommuting) 5 Non-Networked Systems 5.1 DOS PC (Single User) 5.2 UNIX System 5.3 Laptop PC 5.4 PCs With a Non-Constant User Population 5.5 PC under Windows NT 5.6 PC with Windows 95 5.99 Stand-Alone IT Systems Generally 6 Networked Systems 6.1 Server-Supported Network 6.2 UNIX Server 6.3 Peer-to-Peer Network 6.4 Windows NT Network 6.5 Novell Netware 3.x 6.6 Novell Netware 4.x 6.7 Heterogeneous Networks 6.8 Network and System Management 7 Data Transmission Systems 7.1 Exchange of Data Media 7.2 Modem 7.3 Firewall 7.4 7.5 WWW Server 7.6 Remote Access 8 Telecommunications 8.1 Telecommunications System (Private Branch Exchange, PBX) 8.2 Fax Machine 8.3 Answering Machine 8.4 LAN connection of an IT system via ISDN 8.5 Fax Servers 8.6 Mobile Telephones 9 Other IT Components 1 Finding Your Way Around the IT Baseline Protection Manual 1.1 IT Baseline Protection: The Aim, Concept and Central Idea 1.2 Structure and Interpretation of the Manual 1.3 Using the IT Baseline Protection Manual 1.4 Brief Outline of Existing Modules 1.5 Additional Aids 1.6 Information Flow and Points of Contact 2 Using the IT Baseline Protection Manual 2.1 IT Structure Analysis 2.2 Assessment of protection requirements 2.3 IT Baseline Protection Modelling 2.4 Basic Security Check 2.5 Supplementary Security Analysis 2.6 Implementation of IT Security Safeguards 2.7 IT Baseline Protection Certificate 3 IT Baseline Protection of Generic Components 3.0 IT Security Management 3.1 Organisation 3.2 Personnel 3.3 Contingency Planning Concept 3.4 Data Backup Policy 3.5 Data Privacy Protection 3.6 Computer Virus Protection Concept 3.7 Crypto Concept 3.8 Handling of Security Incidents 4 Infrastructure 4.1 Buildings 4.2 Cabling 4.3 Rooms 4.3.1 Offices 4.3.2 Server Rooms 4.3.3 Storage Media Archives

19 Baseline Protection Manual
Standard Software 9.2 Databases 9.3 Telecommuting Catalogues of Safeguards and Threats Safeguards Catalogues Threats Catalogues S 1 Infrastructure T 1 Force Majeure S 2 Organisation T 2 Organisational Shortcomings S 3 Personnel T 3 Human Error S 4 Hardware & Software T 4 Technical Failure S 5 Communication T 5 Deliberate Acts S 6 Contingency planning

20 OECD: DIRECTRICES PARA LA SEGURIDAD DE SISTEMAS Y REDES DE INFORMACIÓN
HACIA UNA CULTURA DE SEGURIDAD PREFACIO PROPÓSITOS PRINCIPIOS RECOMENDACIÓN DEL CONSEJO HISTORIA DEL PROCEDIMIENTO

21 Sistema de Gestión de la Seguridad
ISO 2700x : 2005 Sistema de Gestión de la Seguridad

22 El estándar ISO/IEC 27001:2005 ISO/IEC 27001:2005 “Information technology – Security Techniques – Information Security Management Systems (ISMS) - Requirements”. Presenta un modelo para el establecimiento, implementación, operación, monitoreo, revisión, mantenimiento y mejora de un sistema de gestión de seguridad de la información dentro de una organización. De acuerdo a las recomendaciones del estándar ISO/IEC 17799:2005 Basado en el estándar desarrollado por the British Standards Institution como BS

23 El estándar ISO/IEC 27001:2005 El primero de una familia de estándares de seguridad de la información que soportarán y guiarán la protección de activos de información en el área de las tecnologías de la información. ISO/IEC Fundamentals and Vocabulary ISO/IEC ISMS Requeriments ISO/IEC Code of practices for information security management ISO/IEC ISMS Implementation Guidance ISO/IEC Information Security Management Measurement ISO/IEC Information Security Risk Management

24 El estándar ISO/IEC 27001:2005 ¿Qué es un sistema de gestión de seguridad de la información ? Establece las políticas de seguridad de la información de una organización y sus objetivos. Especifica cómo serán alcanzados esos objetivos Estructura organizacional Planificación de actividades Responsabilidades Prácticas, procedimientos, procesos Recursos Establece una serie de documentos/documentación obligatoria.

25 Modelo basado en procesos
Cualquier actividad gestionada (seguridad de la información) que emplea recursos para Transformar entradas en salidas (objetivos de seguridad) El proceso de gestión de seguridad de la información se desarrolla siguiendo el modelo

26 Plan-Do-Check-Act (PDCA) de cuatro fases:
Plan: Establecer el ISMS Do: Implementar y operar el ISMS Check: Monitorear y revisar el ISMS Act: Mantener y mejorar el ISMS

27

28 PLAN: Establecer el ISMS
Definir el alcance del ISMS y las políticas de seguridad de la organización. Identificar y realizar un análisis de riesgos a los activos de información relevantes. Seleccionar los objetivos de control y controles relevantes para el manejo de los riesgos. Preparar el documento de aplicabilidad o alcance del estándar. Cláusulas 4, 5, 6, 7 y 8 del estándar son obligatorias en caso de buscar estar conforme al mismo.

29 DO: Implementar y operar el ISMS
Implementar los controles (procesos, procedimientos, tecnología, concientización del recurso humano) para mitigar los riesgos y cumplir con los objetivos de control seleccionados

30 CHECK:Monitorear y revisar el ISMS
Revisar periódicamente la eficiencia del ISMS (políticas, procesos, procedimientos, tecnología, formación) . Revisión de los niveles de riesgo aceptable y riesgo residual. Realizar auditorias internas y externas al ISMS

31 ACT: Mantener y mejorar el ISMS
Ejecutar acciones preventivas y correctivas para la mejora continua del ISMS. Validar las mejoras

Descargar ppt "Ciencia y tecnología de la Información y las Comunicaciones III"

Presentaciones similares

INTRODUCCION La norma NTC (Norma técnica colombiana) ISO 9001:08 consta de 8 capítulos, de los cuales son auditables del capítulo número cuatro al ocho.

INTRODUCCION La norma NTC (Norma técnica colombiana) ISO 9001:08 consta de 8 capítulos, de los cuales son auditables del capítulo número cuatro al ocho.
INFORMATION SECURITY Programa Integral de Formación Profesional en

INFORMATION SECURITY Programa Integral de Formación Profesional en
SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
C OB I T Control Objectives for Information and Related Technology Information Systems and Control Foundation.

C OB I T Control Objectives for Information and Related Technology Information Systems and Control Foundation.
UNIVERSIDAD ALONSO DE OJEDA

UNIVERSIDAD "ALONSO DE OJEDA"
SEGURIDAD EN REDES DE DATOS

SEGURIDAD EN REDES DE DATOS
Control Interno Informático. Concepto

Control Interno Informático. Concepto
CHARLA SISTEMA DE GESTIÓN AMBIENTAL ISO-14000

CHARLA SISTEMA DE GESTIÓN AMBIENTAL ISO-14000
Contorles de Auditoría Informática Básicos Ing. Elizabeth Guerrero V.

Contorles de Auditoría Informática Básicos Ing. Elizabeth Guerrero V.
Comprimido ARCHIformativo

Comprimido ARCHIformativo
DIRECT ACCESS.

DIRECT ACCESS.
Término que se le da al conjunto de equipos de cómputo que se encuentran conectados entre si por medio de dispositivos físicos que envían y reciben -

Término que se le da al conjunto de equipos de cómputo que se encuentran conectados entre si por medio de dispositivos físicos que envían y reciben -
1 ESTRATEGIA DE IMPLEMENTACION DE MEDIDAS DE GOBIERNO DE LAS TECNOLOGIAS DE LA INFORMACION La Antigua, Guatemala 23 de Septiembre de 2008.

1 ESTRATEGIA DE IMPLEMENTACION DE MEDIDAS DE GOBIERNO DE LAS TECNOLOGIAS DE LA INFORMACION La Antigua, Guatemala 23 de Septiembre de 2008.
Ing. Horacio Carlos Sagredo Tejerina

Ing. Horacio Carlos Sagredo Tejerina
Carla Cuevas Noya Adrian Aramiz Villalba Salinas

Carla Cuevas Noya Adrian Aramiz Villalba Salinas
Ciclo PDCA.

Ciclo PDCA.
Conceptos de seguridad Seguridad y Auditoria de Sistemas Ciclo

Conceptos de seguridad Seguridad y Auditoria de Sistemas Ciclo
AUDITORIA TECNOLOGIAS DE INFORMACION

AUDITORIA TECNOLOGIAS DE INFORMACION
28 de junio, 2010. Primero – Aclaremos el Nombre FOPE – Forefront Online Protection for Exchange Previamente FOSE Forma parte de Exchange Hosted Services:

28 de junio, Primero – Aclaremos el Nombre FOPE – Forefront Online Protection for Exchange Previamente FOSE Forma parte de Exchange Hosted Services:
Segunda Jornada Nacional de Seguridad Informática ACIS 2002

Segunda Jornada Nacional de Seguridad Informática ACIS 2002

Presentaciones similares

Anuncios Google