Documentos de Académico
Documentos de Profesional
Documentos de Cultura
5. Principios Fundamentales de la Seguridad Inform Informtica 6. El Papel de la Criptograf Criptografa en la Seguridad de la Informaci Informacin
1. Introduccin
(s. XXI) Sociedades de la Informaci Informacin: El volumen de datos (informacin) que es procesado, almacenado y transmitido es muy superior al de otra poca. Crece MUCHSIMO la importancia de la informacin. Recursos clsicos: Recursos Humanos, Materiales y Dinero El conocimiento es poder. Disponer de determinadas informaciones permite usarlas y manipularlas en beneficio propio. Si la informacin puede proporcionar beneficios, siempre existir alguien que ponga todos los medios a su alcance para obtenerla, manteniendo una proporcionalidad entre los medios y el beneficio. Los nuevos medios para transmitir y utilizar la informacin han aumentado su inseguridad. El auge de las redes y de Internet ha sido el factor que ha hecho que la Seguridad Informtica cobre importancia. Seguridad de los Sistemas de Informacin (SSI) = Seguridad de la Informacin, Seguridad de los Ordenadores, Seguridad de Datos, Proteccin de la Informacin.
2
Dependiendo del tipo de SI el orden de importancia de los tres aspectos (C., I., D.) es diferente.
5
Informacin
Disponibilidad
PSI
Conjunto de recursos y tcnicas que permiten asegurar la confidencialidad, integridad y disponibilidad de la informacin. 9
10
extra aadido.
La poltica debe ser consistente con las prcticas de seguridad de otros departamentos.
11
evaluarse los riesgos, el valor del sistema y el coste de atacarlo. Las medidas tomadas deben ser proporcionales a estos valores ANLISIS Y GESTIN DE RIESGOS
12
Esto lleva a los siguientes pasos b bsicos: sicos 1. Determinar los recursos a proteger y su valor. AR 2. Analizar las vulnerabilidades y amenazas del sistema, su probabilidad y
su coste.
Relacin econmica lgica: Ca > Cr > Cs Valor de un SI (Cr ): Al evaluar un SI su valor puede desglosarse en (Cr) dos partes fundamentales: 1. Valor intrnseco del producto a proteger.
Costes derivados.
Ms difciles de enumerar y cuantificar. Dependen del tipo de SI; su valor e importancia pueden variar. Conceptos:
Valor de sustituir el hardware. Valor de sustituir el software. Valor de los resultados. Valor de reproducir los experimentos significativos. Coste de regenerar la informacin personal.
18
Amenazas intencionadas: Procedentes de personas que pretenden acceder al sistema para borrar, modificar o robar la informacin; para bloquearlo o por simple diversin.
Criterios de diseo de SI: economa, eficiencia, eficacia, etc. Diseo mediante criterios de seguridad: Ms complejo.
Amenazas poco cuantificables y variadas. La aplicacin de medidas para proteccin del sistema implica:
Anlisis y cuantificacin previa de los riesgos y vulnerabilidades. Definicin de una poltica de seguridad y su implementacin mediante medidas.
10
Medidas Legales Medidas Administrativas Medidas Fsicas Medidas Lgicas Sistema Informtico
21
Tambin se incluyen las medidas humanas: Se trata de definir las funciones, relaciones y responsabilidades de distintos usuarios potenciales del sistema (quin puede acceder, a qu recursos, etc.). Hay cuatro tipos de usuarios: (1) administrador del sistema (administrador de seguridad), (2) usuarios, (3) personas relacionadas con el sistema pero sin necesidad de usarlo, (4) personas ajenas al sistema.
22
11
Tipos de controles:
1) Control de las condiciones medioambientales (temperatura, humedad, polvo...) 2) Prevencin de catstrofes (incendios, tormentas, sobrecargas, cortes del 3) 4) 5) 6)
suministro elctrico ) Vigilancia (cmaras, guardias, ) Sistemas de contingencia (extintores, fuentes de alimentacin ininterrumpida) Sistemas de recuperacin (copias de seguridad, redundancia ) Control de la entrada y salida de material (elementos desechables, papeles, consumibles, material anticuado ) 23
2) Debe quedar claro quin fija la poltica de seguridad y quin la pone en 3) Establecimiento de un plan de formacin del personal. 4) Los usuarios deben tener los conocimientos tcnicos necesarios para usar la
parte del sistema que les corresponda. informacin a la que tienen acceso.
5) Los usuarios deben ser conscientes de los problemas de seguridad de la 6) Los usuarios deben conocer la poltica de seguridad de la empresa y las
medidas de seguridad tomadas para ponerla en prctica. Deben colaborar, a ser posible voluntariamente, en la aplicacin de las medidas de seguridad. 7) Los usuarios deben conocer sus responsabilidades respecto al uso del SI, y deben ser conscientes de las consecuencias de un mal uso del mismo. 24
12
25
plan de contingencia para cuando falle el sistema, no por si falla el sistema. La clave de una buena recuperacin en caso de fallo es una preparacin adecuada. Recuperaci Recuperacin: Es tanto la capacidad de seguir trabajando en un plazo mnimo despus de producido el problema, como la posibilidad de volver a la situacin anterior al problema habiendo reemplazado o recuperado el mximo de los recursos y de la informacin. Aspectos relacionados con la recuperacin: 1. Deteccin del fallo. 2. Identificacin del origen del ataque y de los daos causados. 3. Toma de medidas a posteriori contra el atacante.
26
13
Dependiendo del tipo de compaa puede ser necesario recuperar el funcionamiento en un plazo ms o menos breve. Todo depende del uso que se haga del sistema y de las prdidas que suponga no tenerlo en funcionamiento.
27
28
14
29
Defensa en profundidad.
La seguridad de nuestro sistema no debe depender de un solo mecanismo por muy fuerte que este sea, sino que es necesario establecer varios mecanismos sucesivos. De este modo cualquier atacante tendr que superar varias barreras para acceder a nuestro sistema.
30
15
31
Simplicidad
La simplicidad es un principio de seguridad por dos razones. En primer lugar, mantener las cosas lo ms simples posibles las hace ms fciles de comprender. Si no se entiende algo difcilmente puede saberse si es seguro. En segundo lugar, la complejidad permite esconder mltiples fallos. Los programas ms largos y complejos son propensos a contener mltiples fallos y puntos dbiles.
32
16
33
17