Scribd
Cargar
40 vistas19 páginas

Componentes y Seguridad

El documento describe un modelo de ciclo de vida basado en la seguridad de la información y la gestión de riesgos. Explica conceptos como los activos de la organización, la recopilación y análisis de información, la auditoría, la implementación de controles y la administración continua. También cubre temas como el modelo CIA de confidencialidad, integridad y disponibilidad, así como buenas prácticas y salvaguardas para la seguridad de la red.

Cargado por

Jorge Maldonado
Derechos de autor
© Attribution Non-Commercial (BY-NC)
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PPT, PDF, TXT o lee en línea desde Scribd
40 vistas19 páginas

Componentes y Seguridad

El documento describe un modelo de ciclo de vida basado en la seguridad de la información y la gestión de riesgos. Explica conceptos como los activos de la organización, la recopilación y análisis de información, la auditoría, la implementación de controles y la administración continua. También cubre temas como el modelo CIA de confidencialidad, integridad y disponibilidad, así como buenas prácticas y salvaguardas para la seguridad de la red.

Cargado por

Jorge Maldonado
Derechos de autor
© Attribution Non-Commercial (BY-NC)
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PPT, PDF, TXT o lee en línea desde Scribd

Component

es y
Seguridad
Unidad 1
Materia: Cri
ptogra fía
Integrantes
0 Eliana Beatriz Alejandro Sá nchez
0 Dante Leonardo Cervantes Magañ a
0 Eliseo García Torres
0 Wualter Leó n Herná ndez
0 Jorge Noé Maldonado Paré s
0 David Anastacio Martinez May
0 Santiago Valencia Mé ndez
MODELO DE CICLO DE VIDA BASADO
EN INFOSEC BASADO EN RIESGOS Y
Rueda externa ARBIL.
Tareas comprendidas:
ACTIVOS
Comprender: Misió n, productos y servicios, empleados, sedes, departamentos de la
empresa Y activos importantes.

Recoger: Recopilar informació n sobre los recursos organizativos, departamentales y de


grupo.(Gente, Datos, Infraestructura).

Analizar: Informació n estratégica. Determinar quien, que, cuando, por que y como se
relacionan con la misió n de la empresa.

Auditar: El entorno y recursos para valorar el nivel de seguridad actual y la viabilidad de


los controles y salvaguardas utilizados.

Implementar: Acciones correctivas segú n prioridades.(Costo/Beneficio)

Dirigir: Administrar con eficacia las salvaguardas y controles definidos utilizando los
principios mostrados en la rueda interna.
Rueda Interna ARBIL

Salvaguardar: implementar
medidas de seguridad
0 Supervisar: Auditar y registrar datos y alertas del
sistema

0 Reaccionar: Una vez que se haya detectado un


problema
0 Defender: Conseguir una defensa y mitigar los
dañ os…

Recuperar: Analizar cualquier dañ o,


implementar medidas de recuperació n..
El modelo CIA
LA SEGURIDAD DE LA INFORMACION ESTA BASADA EN TRES
OBJETIVOS PRINCIPALES:

Confidencialidad :
Garantizar que la Información este disponible.

Integridad :
Garantizar que los datos sean fiables

Disponibilidad:
Garantizar que los datos sean accesibles
Aná lisis Preliminar del proceso
de Hacking
0 El hacking es un proceso para interrumpir los
Sistemas de Informació n, aunque la mejor manera
para evitar estos ataques es conocerlos.
0 El objetivo de este apartado es conocer que tipos de
ataques utilizan estos «Hackers»
Arboles de ataque
0 Los arboles de ataque son el primer método de
aná lisis una vez que uno ha sido víctima de este
mismo.
0 Consiste en la valoració n de las posibles areas de
vulnerabilidad así como las subareas de estas mismas.
Lista de amenazas para la
seguridad de la informació n
0 Contrario a los á rboles, la lista de amenazas no ve las
vulnerabilidades del sistema si no que las amenazas
ajenas a este.
0 Elaborar de nuestra listas de amenazas depende
directamente de los á rboles de ataque ya que estos
indican que caminos puede tomar un hacker.
0 Se debe de tomar en cuenta que las amenazas deben
de estar jerarquizadas desde las mas generales hasta
las má s específicas del modelo CIA
MODELOS DE OBJETIVOS DE INFOSET
En este paso ló gico se reú nen todas las piezas en la medida que
se en encuentren relacionados con un sistema o solució n dada.

¿Có mo se lleva acabo?

1.-El nivel superior se puede representar en un diagrama que


identifique los servicios claves y las aplicaciones presentes
2.-Sistemas Operativos amenazados
3.-Definir la organizació n de servicios(personas,procesos y
tecnologias)
LISTA DE VULNERABILIDADES
0 Clarifica el escenario del juego
0 Aunque detectar las amenazas no es nada fá cil

Ejemplo:

Cracking de cuentas/fuerza bruta Hombre en medio


Desbordamiento de bú ffer Configuració n incorrecta
Denegació n del servicio Rastreo de red
Usurpació n de la identidad Condició n de carrera
Carencia de control operativo Hijacking de sesió n
Carencia de proceso y Errores de diseñ o en el sitema o en la
aplicació n
procedimiento
BUENAS PRÁCTICAS Y SALVAGUARDAS PARA LA
SEGURIDAD DE LA RED

Las salvaguardas representan los medios técnicos y operativos mediante los que
una empresa puede proteger con eficacia sus activos e informació n de cará cter
crítico.

Actitud de defensa en profundidad: basado en la mezcla de algunas funciones


para un mismo recurso o entorno.

Dispone de las distintas funciones de seguridad por niveles con el fin de atenuar
el nivel de riesgo incrementando el tiempo o los recursos (o una mezcla de
ambos elementos) que necesitará el hacker para conseguir sus objetivos.
MEDIDAD DE SEGURIDAD:

Protecció n de las cuentas de los usuarios.


Protecció n de las cuentas administrativas y de las interfaces remotas de
administració n.
Protecció n contra las aplicaciones troyanas, virus y otras secuencias de comandos
malévolas.
Protecció n contra defectos en el diseñ o de la arquitectura del software.
Protecció n contra errores de configuració n del sistema y de las aplicaciones.
 Protecció n contra los errores de programació n del software.
Protecció n contra los descuidos, imprudencias o estupideces de los usuarios.
Protecció n contra escuchas (desde el rastreo de la red a las miradas a hurtadillas
por encima del hombro).
Protecció n contra la usurpació n de la identidad del usuario (electró nicamente o
por teléfono).
Protecció n contra robo físico (oficina, centro de datos, en los viajes y en las
ubicaciones remotas).
Protecció n contra el empleo inapropiado de los recursos.
Buenas practicas para la
seguridad de la red
Para reforzar las salvaguardas y los controles presentados ya, así como los
principios de defensa en profundidad mencionada anteriormente, la siguiente
lista de buenas practicas para la seguridad de la red le ayudara a fijar los
principios .
•Proteja los distintos entornos de red superponiendo
en capas diferentes…
•Divida los recursos operativos en elementos físicos y
ló gicos…
•Utilice cortafuegos para controlar los puntos
frontera críticos de la red…
•Controle las direcciones de origen en los puntos
frontera…
•Utilice una arquitectura DNS dividida …
•Controle estrictamente y regule las cuentas de
cará cter administrativo
Buenas practicas para la
seguridad de la red
•Diferencia las contraseñ as de las cuentas
root y de administració n del sistema…
•No utilice servicios de Telnet y FTP que
sean inseguros.
•No permita la administració n del sistema
basada en internet
•Actualice con la má xima rapidez los parches
y fixes emitidos…
•Emplee tecnologías de seguridad critica
•Piense en la utilizació n de varios
cortafuegos de distintos fabricantes en los
puntos de control
•Controle el trafico de red saliente así como
el entrante

También podría gustarte