Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Es una disciplina
El objetivo es contar con sistemas “inmunes” a actos
maliciosos, errores o mala suerte
Son las herramientas, procesos y métodos para diseñar,
implementar y probar los sistemas de manera completa y
con un grado de adaptabilidad adecuado, incluso a su
contexto
2
Ingeniería de la seguridad
Bancos
Hospitales
Hogares
etc.
3
Algunos conceptos relacionados
Sistema
4
Algunos conceptos relacionados
Seguridad
Ross Anderson dice que es una “palabra terriblemente
sobrecargada”, incluso a veces con siginificados
incompatibles
Ejemplo
empresa y empleados
Navegar y enviar correos
Para la empresa, la seguridad es poder monitorizar la
actividad web y de e-mail de los empleados
Para los empleados, la seguridad es poder realizar actividad
web y correo sin ser monitorizados
5
Algunos conceptos relacionados
Seguridad
Refiere a la protección de los activos
Implica entonces, identificarlos y saber cómo protegerlos
Medidas de protección (“el ciclo de vida del trabajo en
seguridad”)
Prevención
Evitar que los activos sean dañados (que un ataque tenga éxito)
Detección
Detectar que un activo ha sido dañado, cómo fue dañado o por
quién
No es posible prevenir todo y a veces “no se quiere”
Reacción o Recuperación
Recuperar el activo o remediar el daño que se le causó
6
Algunos conceptos relacionados
Seguridad Informática
7
Algunos conceptos relacionados
Confidencialidad
Privacidad
Relacionada con la protección de los datos de los usuarios
Secreto
Relacionada con la protección de los datos de las
organizaciones
8
Algunos conceptos relacionados
Integridad
Difícil de definir y con varias definiciones posibles
Prevención de escrituras no autorizadas
Aún autorizado, prevenir que los activos de una organización
se pierdan o corrompan
En la comunicaciones, refiere a la detección y posible
correción de modificaciones, inserciones, borrados y replays
de datos transmitidos
Consistencia
Que el comportamiento de un sistema sea idéntico en las
mismas circunstancias.
9
Algunos conceptos relacionados
Disponibilidad
Autenticación
11
Algunos conceptos relacionados
Accountability
No repudio
En seguridad de comunicaciones
No repudio de origen
No repudio de entrega
13
Identificación y autenticación
Control de acceso
15
Algunos conceptos relacionados
16
Gestión de password
18
X.800 de ITU-T
Ataques
Cualquier acción que compromete la seguridad de algún
activo de una organización
Servicios (los vimos en las diapositivas anteriores)
Procesamiento o servicio de comunicación que enriquece la
seguridad de los servicios de procesamiento de datos y de la
transferencia de información de una organización
Mecanismos
Proceso o dispositivo que lo incorpora, diseñado para
prevenir, detectar o recuperarse de un ataque
19
Ataques
Pasivos
Pueden implicar
20
Ataques pasivos
21
Ataques pasivos
22
Ataques
Activos
Pueden implicar
Modificar los mensajes
Introducir mensajes
Tipos
Asumir el rol de otro (masquerade)
Retrasmitir mensajes escuhados (replay)
Modificación de mensaje: alterar una parte del mensaje,
retrasarlo, reordenarlo
Denial of Service: evitar que los mensajes lleguen a
determinado destino o interrumpir las comunicaciones en una
red o el acceso a determinado servicio
23
Ataques activos
24
Ataques activos
25
Ataques activos
26
Ataques activos
27
Mecanismos
Cifrado
Firmas digitales
Control de acceso
Integridad de los datos
Intercambio de autenticación
Relleno con bits
Control de enrutamiento
Certificación
Etiquetado de seguridad
Detección de eventos de seguridad relevantes
28
Modelo muy general de seguridad en la red
29
Modelo muy general de seguridad de acceso
30
Los roles en seguridad
Gerente de seguridad
Persona dentro de la organización encargado de analizar,
diseñar, desarrollar, implementar, probar y mejorar los
mecanismos de seguridad requeridos para proteger los
activos.
Encargado también de la revisión de los mismos
Personal de seguridad
Más cerca de la implementación de lo que genera el
gerente de seguridad
Expertos en seguridad
En el medio de los dos anteriores
32
Algunos conceptos más...
Seguridad física
Seguridad lógica
33
No simplificar el problema
Hay que
Saber configurarlos
...
34
Otras referencias
www.cert.org
www.securityfocus.com
www.cve.mitre.org
www.sans.org
35