Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Presentacion Unidad II II.1 II.2

    Cargado por

    ingridamor
    6 vistas23 páginas
    seguridad e informatica unidad 3

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento
    seguridad e informatica unidad 3

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    6 vistas23 páginas

    Presentacion Unidad II II.1 II.2

    Cargado por

    ingridamor
    seguridad e informatica unidad 3

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 23

    SEGURIDAD COMPUTACIONAL

    PROFESORA: FRANCIS FERRER


    TEORÍA. UNIDAD II . GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL DESARROLLO E IMPLEMENTACIÓN DE SISTEMAS.
    ENTORNO DE AMENAZAS. PRINCIPIOS DE GESTIÓN DE LA SEGURIDAD PARA EL DESARROLLO DE SISTEMA.
    TEORÍA. UNIDAD II . GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL DESARROLLO E IMPLEMENTACIÓN DE SISTEMAS.
    ENTORNO DE AMENAZAS. PRINCIPIOS DE GESTIÓN DE LA SEGURIDAD PARA EL DESARROLLO DE SISTEMA.
    REPASO - GARANTÍAS/DIMENSIONES DE LA SEGURIDAD DE LA
    INFORMACIÓN
    REPASO - RIESGO

    R A V
    II.2. ENTORNO DE AMENAZAS

    • Desastres naturales
    • De origen industrial
    • Errores o Fallos no intencionados
    • Ataques intencionados

    5
    II.2. ENTORNO DE AMENAZAS
    AMENAZAS
    Desastres naturales
    Fuego
    Daños por agua
    Desastres naturales
    De origen industrial
    Fuego
    Daños por agua
    Desastres industriales
    Avería de origen físico o lógico
    Corte del suministro eléctrico
    Condiciones inadecuadas de temperatura o humedad
    Fallo de servicios de comunicaciones
    Interrupción de otros servicios y suministros esenciales
    Degradación de los soportes de almacenamiento de la información
    Emanaciones electromagnéticas 6
    II.2. ENTORNO DE AMENAZAS
    AMENAZAS

    Errores o Fallos no intencionados


    Errores de los usuarios
    Errores del administrador
    Errores de monitorización (log)
    Errores de configuración
    Deficiencias en la organización
    Difusión de software dañino
    Alteración accidental de la información
    Fugas de información
    Vulnerabilidades de los programas (software)
    Errores de mantenimiento / actualización de programas (software)
    Errores de mantenimiento / actualización de equipos (hardware)
    Caída del sistema por agotamiento de recursos
    Pérdida de equipos
    7
    Indisponibilidad del personal
    II.2. ENTORNO DE AMENAZAS
    AMENAZAS
    Ataques intencionados
    Manipulación de los registros de actividad (log)
    Manipulación de la configuración
    Suplantación de la identidad del usuario
    Abuso de privilegios de acceso
    Uso no previsto
    Difusión de software dañino
    Acceso no autorizado
    Análisis de tráfico
    Repudio
    Interceptación de información (escucha)
    Modificación deliberada de la información
    Destrucción de información
    Divulgación de información
    Manipulación de programas
    Manipulación de los equipos
    Denegación de servicio
    Robo
    Ataque destructivo
    Ocupación enemiga
    Indisponibilidad del personal
    II.2. ENTORNO DE AMENAZAS
    LOS ATAQUES MAS COMUNES

    • Ataque de malware
    • DoS y DDoS
    • MitM (Man in the middle-Hombre en el
    medio)
    • Ataques de phishing y spear-phishing
    • Ataque de contraseña
    • Ataque de inyección SQL
    • XSS (Cross Site Scripting)
    II.2. ENTORNO DE AMENAZAS
    MALWARE

    Clasificación del Malware:


    • Circulación
    • Infección
    • Ocultación
    • Capacidades de carga útil
    II.2. ENTORNO DE AMENAZAS
    MALWARE
    Algunos de los ataques de ransomware más devastadores en 2021:
    1. Ataque de DarkSide a Colonial Pipeline Company
    Colonial Pipeline Company se enteró a principios de mayo de que había sido víctima de un ataque de ransomware, lo
    que interrumpió rápidamente el suministro de combustible a una gran franja del sureste de Estados Unidos, con la
    posibilidad de extenderse hasta el norte de Nueva York. El ataque de ransomware a Colonial Pipeline ha sido, con
    diferencia, el ataque de mayor repercusión de 2021. Colonial suministra un 50% del combustible de la Costa Este.
    Rescate pagado: 4,4 millones de dólares

    2. Ataque de REvil a JBS USA


    En mayo, JBS, el mayor proveedor de carne vacuna del mundo, sufrió un ataque de ransomware del grupo REvil. La
    división estadounidense, JBS USA, tuvo que interrumpir completamente sus operaciones debido al ataque. No hace
    falta decir que la carne de vacuno desapareció de los estantes de muchas tiendas en Estados Unidos, ya que el ataque
    afectó a la cadena de suministro que se originó en JBS USA.

    Rescate pagado: 11 millones de dólares


    II.2 PRINCIPIOS DE GESTIÓN DE LA SEGURIDAD PARA EL DESARROLLO DE
    SISTEMA
    CONTROL DE ACCESO

    Los modelos de control de acceso otorgan o


    deniega la aprobación para usar recursos
    específicos. El control de acceso físico consiste en
    cercas, cerraduras de puertas de hardware y
    trampas para limitar el contacto con los
    dispositivos. De manera similar, el control de
    acceso lógico consiste en restricciones
    tecnológicas que limitan el acceso de los usuarios
    a los datos en las computadoras.
    II.2 PRINCIPIOS DE GESTIÓN DE LA SEGURIDAD PARA EL DESARROLLO DE
    SISTEMA
    MODELOS DE SEGURIDAD

    La mayoría de los modelos de seguridad de


    acceso se centran en definir las
    interacciones permitidas entre sujetos
    (partes activas) y objetos (partes pasivas)
    en un momento determinado.
    II.2 PRINCIPIOS DE GESTIÓN DE LA SEGURIDAD PARA EL
    DESARROLLO DE SISTEMA - MODELOS DE SEGURIDAD

     Role-Based Access Control (RBAC)


     Rule-Based Access Control (RBAC)
     Mandatory Access Controls (MACs)
     Discretionary Access Controls (DACs)

    14
    II.2 PRINCIPIOS DE GESTIÓN DE LA SEGURIDAD PARA EL DESARROLLO DE
    SISTEMA - MODELOS DE SEGURIDAD – MECANISMOS DE AUTORIZACIÓN

    Role-Based Access Control (RBAC)


    Es un sistema de acceso no discrecional.
    Este control de acceso está basado en roles (o
    funciones) que tiene el usuario asignado a lo interno
    de la organización. La identificación de a qué roles
    pueden accesar un recurso es responsabilidad del
    dueño de la información
    II.2 PRINCIPIOS DE GESTIÓN DE LA SEGURIDAD PARA EL DESARROLLO DE
    SISTEMA - MODELOS DE SEGURIDAD – MECANISMOS DE AUTORIZACIÓN

    Rule-Based Access Control (RBAC)


    Es un Sistema basado en reglas, definidas por el
    administrador del sistema, el acceso se otorga de
    acuerdo a una lista predefinida de reglas que
    determinan qué accesos pueden ser otorgados. Las
    propiedades de acceso son almacenadas en ACL que
    están asociadas a cada objeto.
    II.2 PRINCIPIOS DE GESTIÓN DE LA SEGURIDAD PARA EL DESARROLLO DE
    SISTEMA - MODELOS DE SEGURIDAD – MECANISMOS DE AUTORIZACIÓN

    Mandatory Access Controls (MACs)


    Es el sistema operativo quien define el
    acceso de los sujetos a desarrollar
    operaciones en los objetos. Las políticas de
    seguridad están controladas por el
    administrador.
    El control de acceso obligatorio requiere
    que el propio sistema gestione los controles
    de acceso de acuerdo con las políticas de
    seguridad de la organización.
    17
    II.2 PRINCIPIOS DE GESTIÓN DE LA SEGURIDAD PARA EL DESARROLLO DE
    SISTEMA - MODELOS DE SEGURIDAD – MECANISMOS DE AUTORIZACIÓN

    Discretionary Access Controls (DACs)


    El control de acceso a los objetos esta
    basado en la identificación del sujeto y/o los
    grupos de los cuales pertenece. Un sujeto
    con ciertos permisos de acceso es capaz de
    pasar esos permisos a otros sujetos.
    II.2 PRINCIPIOS DE GESTIÓN DE LA SEGURIDAD PARA EL
    DESARROLLO DE SISTEMA - MODELO BELL-LA PADULA

    Fue el primer modelo formal para seguridad, diseñado para


    administrar la seguridad de la información en el Departamento de
    Defensa de los Estados Unidos de Norteamérica.
    II.2 PRINCIPIOS DE GESTIÓN DE LA SEGURIDAD PARA EL DESARROLLO DE
    SISTEMA - CARACTERÍSTICAS: MODELO BELL-LA PADULA

     Basado en la confidencialidad y no en la integridad


     Previene el acceso no autorizado a la información.
     Distingue dos tipos de entidades: sujetos y objetos
     Controla el flujo de la información
     Es considerado un modelo multinivel
     Combina acceso Mandatorio y Discrecional
     Evitar la divulgación a medida que el sistema se
    mueve de un estado (un punto en tiempo) a otro.
    20
    II.2 PRINCIPIOS DE GESTIÓN DE LA SEGURIDAD PARA EL DESARROLLO DE
    SISTEMA - CARACTERÍSTICAS MODELO BELL-LA PADULA

    21
    II.2 PRINCIPIOS DE GESTIÓN DE LA SEGURIDAD PARA EL
    DESARROLLO DE SISTEMA - MODELO BELL-LA PADULA

    Modos de Acceso:
    Sólo lectura: Se le permite al sujeto acceder Ejecución: Se le permite al sujeto ejecutar
    a un objeto para leer su contenido. un objeto; que es típicamente un programa,
    o podría ser, por ejemplo un directorio, u
    Sólo escritura (o adjunción): Sólo se le
    otro tipo de objeto que permita algún tipo
    permite al sujeto agregar información al final
    de activación.
    del documento. No puede acceder a su
    contenido original, tampoco cambiarlo, ni Control: Un sujeto puede alterar los
    borrarlo, ni ubicarse en una posición particular. atributos de seguridad de un objeto., más
    no sus datos internos.
    Lectura/escritura: Se le permite al sujeto
    acceder al objeto tanto para leerlo como para
    escribirlo.
    GRACIAS
    fferrer@ucab.edu.ve
    ferrerfranciselena@gmail.com

    También podría gustarte