Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Captulo 5
Introduccin a la Gestin de la Seguridad
Seguridad Informtica y Criptografa
Ultima actualizacin del archivo: 01/03/06
Este archivo tiene: 46 diapositivas
v 4.1
Material Docente de
Libre Distribucin
Este archivo forma parte de un curso completo sobre Seguridad Informtica y Criptografa. Se autoriza el uso,
reproduccin en computador y su impresin en papel, slo con fines docentes y/o personales, respetando los
crditos del autor. Queda prohibida su comercializacin, excepto la edicin en venta en el Departamento de
Publicaciones de la Escuela Universitaria de Informtica de la Universidad Politcnica de Madrid, Espaa.
Curso de Seguridad Informtica y Criptografa JRA
Pgina 133
Pgina 134
Pgina 135
http://www.csi.map.es/csi/pg5m20.htm
http://www.criptored.upm.es/software/sw_m214_01.htm
Pgina 136
Pgina 137
Pgina 138
Si
Pgina 139
Pgina 140
Pgina 141
Pgina 142
Pgina 143
Cuantificacin de la proteccin
BPL?
Cunta proteccin es necesaria?
En nuestro ejemplo: qu configuracin de red usar, en
qu entorno trabajar, qu tipo de cortafuegos, etc. Eso
depender del nivel de seguridad que nuestra empresa
desee, crea oportuno o que nos imponga el mercado.
Pgina 144
Se
cierra
el
ciclo
Identificar amenazas
3. Identificar posibles
acciones (gasto) y sus
implicaciones (B).
Seleccionar acciones a
implementar.
B PL ?
2. Determinar susceptibilidad.
La probabilidad de prdida (P)
Jorge Rami Aguirre
Pgina 145
Pgina 146
Aspectos administrativos
Polticas administrativas
Se establecen aquellos procedimientos de
carcter administrativo en la organizacin
como por ejemplo en el desarrollo de
programas: modularidad en aplicaciones,
revisin sistemtica, etc.
Se establecen responsabilidades compartidas
por todos los usuarios, cada uno en su nivel.
Se procede a la etapa de concienciacin.
Jorge Rami Aguirre
Pgina 147
Control de accesos
Polticas de control de acceso
Poltica de menor privilegio
Acceso estricto a objetos determinados, con
mnimos privilegios para los usuarios.
Poltica de comparticin
Acceso de mximo privilegio en el que cada
usuario puede acceder a todos los objetos.
Granularidad
Nmero de objetos accesibles. Se habla entonces
de granularidad gruesa y fina.
Jorge Rami Aguirre
Pgina 148
Control de flujo
Polticas de control de flujo
La informacin a la que se accede, se enva y
recibe por:
Canales claros o canales ocultos? Seguros o no?
Pgina 149
Modelos de seguridad
Modelo de Bell LaPadula (BLP)
Rgido. Confidencialidad y con autoridad.
Modelo de Clark-Wilson (CW)
Orientacin comercial: integridad.
Se definirn
brevemente
en prximas
diapositivas
Pgina 150
Secreto mximo
Secreto
No clasificado
http://en.wikipedia.org/wiki/Bell-LaPadula_model
Jorge Rami Aguirre
Pgina 151
Pgina 152
http://www.criptored.upm.es/guiateoria/gt_m248e.htm
Chinese Wall
http://www.criptored.upm.es/guiateoria/gt_m248d.htm
http://www.criptored.upm.es/guiateoria/gt_m248f.htm
Biba
Pgina 153
Pgina 154
Pgina 155
Pgina 156
Pgina 157
Pgina 158
Pgina 159
Pgina 160
Pgina 161
Pgina 162
Antecedentes
Introduccin
Objeto y campo de la aplicacin
Trminos y definiciones
Poltica de seguridad
Aspectos organizativos para la
seguridad
Clasificacin y control de los
archivos
Seguridad ligada al personal
Pgina 163
Pgina 164
Planes de contingencia
Pgina 165
Pgina 166
Ciclo PDCA
Plan
Poltica y Alcance del sistema
Anlisis de riesgos
Seleccin de controles
Act
Acciones correctivas
Acciones preventivas
Modificacin Plan
Do
Auditora interna
No conformidades
Grado de cumplimiento
Check
Jorge Rami Aguirre
Pgina 167
Huracn
Tormenta
Inundacin
Tornado
Vendaval
Incendio
Terremoto
Otros
Medidas prevencin
Emplazamientos
adecuados
Proteccin fachadas,
ventanas, puertas
Pgina 168
Medidas de prevencin
Fortificacin de entradas
Guardia Jurado
Patrullas de seguridad
Circuito cerrado TV
Control fsico de accesos
Proteccin de software y
hardware con antivirus,
cortafuegos, deteccin de
intrusos, etc.
Seguimiento de las polticas
de seguridad de la empresa.
Pgina 169
Medidas prevencin
Revisar conductos de
agua
Emplazar la sala con los
equipos ms caros en un
sitio libre de estos
problemas
Instalar sistemas de
drenaje de emergencia
Concienciar a nuestros
empleados
Pgina 170
Medidas prevencin
Detector humo y calor
Materiales ignfugos
Almacn de papel
separado de mquinas
Estado del falso suelo
Extintores revisados
Es la amenaza ms temida por
su rpido poder destructor.
Pgina 171
Pgina 172
Pgina 173
Prdida de clientes.
Prdida de imagen.
Prdida de ingresos por beneficios.
Prdida de ingresos por ventas y cobros.
Prdida de ingresos por produccin.
Prdida de competitividad en el mercado.
Prdida de credibilidad en el sector.
Pgina 174
Plan de recuperacin
Acciones tendentes a volver a la situacin que
exista antes del desastre.
http://recovery-disaster.info/index.htm
Jorge Rami Aguirre
Pgina 175
Pgina 176
Cuestiones y ejercicios (1 de 2)
1. Qu es y qu significa hacer un anlisis de riesgos?
2. Explique el sentido de las ecuaciones B > PL y B PL.
3. Tras un estudio, obtenemos B > PL, podemos estar totalmente
tranquilos al no utilizar medida alguna de prevencin?
4. Explique qu significan los factores L y P en la ecuacin B > PL.
5. Cules son los pasos a seguir en un anlisis de riesgo de acuerdo a
los factores de la ecuacin de B > PL?
6. En algunos sistemas de gestin de informacin a veces prima ms el
elemento confidencialidad, en cambio en otros ms el de integridad.
D algunos ejemplos en que pueda cumplirse al menos en parte este
escenario. Qu opina respecto a una transaccin electrnica?
7. Comente el modelo de seguridad de Bell Lapadula. Por qu se le
llama el modelo de la tranquilidad?
Jorge Rami Aguirre
Pgina 177
Cuestiones y ejercicios (2 de 2)
8. Ud. es el responsable de seguridad y detecta que un empleado est
robando informacin confidencial, cmo reaccionara?
9. Cules pueden ser las prdidas en una empresa si no se cuenta con
un adecuado Plan de Contingencia y sucede un desastre?
10. Qu es un Plan de Contingencia y por qu es importante?
11. Nuestra empresa est a medias entre el rubro distribucin y el de las
finanzas. Resulta estratgico tener aqu un Plan de Contingencia?
12. Qu soluciones tenemos para que un banco no se vea afectado por
un desastre y pueda seguir trabajando con sus clientes con un tiempo
de recuperacin bajo o mnimo? Cmo sera su coste?
13. Se pueden prever situaciones extremas como lo acontecido con las
torres gemelas? En que tipo de empresas o instituciones no deben
descartarse estos extremos? En una empresa que vende coches?