Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Seguridad Informática
ebringas2014@gmail.com
ibringas@uni.edu.pe
Seguridad Informática
Objetivos del Curso
∙ Proporcionar a los alumnos de la escuela
de sistemas los conocimientos de los
conceptos fundamentales que hacen a los
sistemas de seguridad utilizados para
resguardar información. Incluye, además, las
herramientas teóricas y prácticas que es
necesario utilizar, tanto durante su
procesamiento, como durante la fase de
transmisión.
Seguridad Informática
Contenido del Curso
1. Ethical Hacking
Seguridad Informática
Desarrollo del Curso
Material del Curso:
Presentaciones de cada clase, Separatas adicionales,
videos, urls de seguridad informática y principalmente
Internet.
Facebook:
Seguridad Informática | ST-215 "U" | Prof. BRINGAS.
Evaluaciones:
Examen Parcial Peso 1
Examen Final Peso 2
Prácticas y Monografía Peso 1
2 Prácticas Calificadas (Ninguna se elimina)
2 Monografías (Ninguna se elimina)
Seguridad Informática
Agenda de la Sesión
∙ Introducción
∙ Principios de Seguridad Informática (SI)
∙ El papel de la Criptografía en la SI
∙ Certificaciones en Seguridad Informática
∙ Definir Seguridad a nivel de Plataforma
∙ Criterios y normativas de seguridad
∙ Historia de la Norma ISO 17799
∙ Leyes de seguridad informática en Perú
∙ Lecturas Recomendadas
∙ Videos Recomendados
∙ Certificaciones en Seguridad Informática
Seguridad Informática
Objetivos Seguridad de la Información
Seguridad Informática
Confidencialidad, Integridad y Disponibilidad
∙ Confidencialidad
∙ Los componentes del sistema serán accesibles sólo por
aquellos usuarios autorizados.
∙ Integridad
∙ Los componentes del sistema sólo pueden ser creados y
modificados por los usuarios autorizados.
∙ Disponibilidad
∙ Los usuarios deben tener disponibles todos los
componentes del sistema cuando así lo deseen.
Seguridad Informática
No repudio de origen y destino
∙ No Repudio
∙ Este término se ha introducido en los últimos años como
una característica más de los elementos que conforman la
seguridad en un sistema informático.
∙ Está asociado a la aceptación de un protocolo de
comunicación entre emisor y receptor (cliente y servidor)
normalmente a través del intercambio de sendos
certificados digitales de autenticación.
∙ Se habla entonces de No Repudio de Origen y No
Repudio de Destino, forzando a que se cumplan todas las
operaciones por ambas partes en una comunicación.
Seguridad Informática
Seguridad desde siempre…
Seguridad Informática
Eventos Disruptivos
Seguridad Informática
Eventos Disruptivos
Seguridad Informática
Tomando conciencia de la seguridad
La seguridad es
sinónimo de calidad de servicio.
Seguridad Informática
Ciclo de la Seguridad de la Información
El ciclo de seguridad se inicia con la identificación de
las amenazas a las cuales están sometidas las
empresas. La identificación de las amenazas permitirá la
visualización de los puntos débiles que se podrán
explotar, exponiendo los activos a riesgos de seguridad.
Seguridad Informática
La Seguridad de la Información es..
una actividad cuyo propósito es:
∙ proteger a los activos contra accesos no autorizados ,
Seguridad Informática
Amenazas de interrupción
Interrupció
n
Intruso
Seguridad Informática
Amenazas de interceptación
Interceptación
Intruso
Seguridad Informática
Amenazas de modificación
Modificación
Intruso
Seguridad Informática
Amenazas de generación
Generación
Intruso
Seguridad Informática
Escenarios de las amenazas del sistema
Datos
Ejemplos de amenazas
Los datos serán la parte más
vulnerable del sistema
Hardware Software
Interrupción (denegar servicio) Modificación (falsificación)
Interceptación (robo) Interrupción (borrado)
Interceptación (copia)
Seguridad Informática
Amenazas más características
∙ Hardware:
∙ Agua, fuego, electricidad, polvo, cigarrillos, comida.
∙ Software:
∙ Además de algunos típicos del hardware, borrados
accidentales o intencionados, estática, fallos de líneas
de programa, bombas lógicas, robo, copias ilegales.
∙ Datos:
∙ Tiene los mismos puntos débiles que el software. Pero
hay dos problemas añadidos: no tienen valor
intrínseco pero sí su interpretación y, por otra parte,
habrá datos de carácter personal y privado que
podrían convertirse en datos de carácter público: hay
leyes que lo protegen.
Seguridad Informática
Debilidades del sistema informático (1)
Seguridad Informática
Debilidades del sistema informático (2)
Seguridad Informática
Principios Fundamentales de la Seg. Inf.
Principle 1. Establish a sound security policy as the “foundation”
for design.
Principle 2. Treat security as an integral part of the overall
system design.
Principle 3. Clearly delineate the physical and logical security
boundaries governed by associated security policies.
Principle 4. Ensure that developers are trained in how to
develop secure software.
…….
Seguridad Informática
Principios Fundamentales de la Seg. Inf.
∙ Principio de menor privilegio.
Afirma que cualquier objeto (usuario, administrador, programa,
sistema, etc.) debe tener tan solo los privilegios de uso necesarios
para desarrollar su tarea y ninguno más y sólo durante el tiempo
necesario.
Seguridad Informática
Principios Fundamentales de la Seg. Inf.
continua...
∙ Principio del eslabón más débil.
En todo sistema de seguridad, el máximo grado de seguridad es
aquel que tiene su eslabón más débil. Cuando diseñemos una
política de seguridad o establezcamos los mecanismos necesarios
para ponerla en práctica, debemos contemplar todas las
vulnerabilidades y amenazas.
No basta con establecer unos mecanismos muy fuertes y
complejos en algún punto en concreto, sino que hay que proteger
todos los posibles puntos de ataque.
∙ Defensa en profundidad.
La seguridad de nuestro sistema no debe depender de un solo
mecanismo por muy fuerte que este sea, sino que es necesario
establecer varios mecanismos sucesivos. De este modo cualquier
atacante tendrá que superar varias barreras para acceder a nuestro
sistema.
Seguridad Informática
Principios Fundamentales de la Seg. Inf.
continua...
∙ Punto de control centralizado.
Se trata de establecer un único punto de acceso a nuestro
sistema, de modo que cualquier atacante que intente acceder al
mismo tenga que pasar por él. Este único canal de entrada
simplifica nuestro sistema de defensa, puesto que nos permite
concentrarnos en un único punto. Además nos permite monitorizar
todos los accesos o acciones sospechosas.
Seguridad Informática
Principios Fundamentales de la Seg. Inf.
continua...
∙ Participación universal.
Para que cualquier sistema de seguridad funcione es necesaria la
participación universal, o al menos la no oposición activa de los
usuarios del sistema.
∙ Simplicidad.
La simplicidad es un principio de seguridad por dos razones. En
primer lugar, mantener las cosas lo más simples posibles las hace
más fáciles de comprender. Si no se entiende algo difícilmente
puede saberse si es seguro. En segundo lugar, la complejidad
permite esconder múltiples fallos. Los programas más largos y
complejos son propensos a contener múltiples fallos y puntos
débiles.
Seguridad Informática
El concepto de datos Seguros
∙ Si se cumplen los principios vistos anteriormente,
diremos en general que los datos están protegidos y
seguros.
∙Esto se entiende en el
siguiente sentido: los
DATOS DATOS datos sólo pueden ser
DATOS conocidos por aquellos
usuarios que tienen
Confidencialidad Integridad Disponibilidad privilegios sobre ellos,
sólo usuarios
DATOS
autorizados los podrán
crear o bien modificar,
y tales datos deberán
estar siempre
Datos Seguros
disponibles.
Seguridad Informática
Estamos completamente Seguros (100%) ?
Funcionalidad
Seguridad
Seguridad Informática
Importancia de la Criptografía en la SI
Seguridad Informática
Definir Seguridad a nivel de Plataforma
Seguridad Informática
Criterios y normativas de seguridad
ISO/IEC 27001 - the certification standard against which organizations' ISMS may be certified (published in 2005)
ISO/IEC 27002 - Information technology - Security techniques - Code of practice for information security
management - 2007
ISO/IEC 27004 - a standard for information security measurement and metrics (in preparation)
ISO/IEC 27005 - a standard for risk management, potentially related to the current British Standard BS 7799 part 3
ISO/IEC 27007 - a guideline for auditing information security management systems (in preparation)
http://www.standardsdirect.org/iso17799.htm
Seguridad Informática
IT Infrastructure Library (ITIL) Definición
El gerenciamiento de la seguridad es responsable de la
confidencialidad, la integridad y la disponibilidad de datos asociados a un
servicio. Un número de security issues tienen que ser cubiertos por la
administración de disponibilidad:
∙ Los servicios deben estar disponibles sólo para el personal autorizado
∙ Los datos deben estar disponibles solamente para el personal
autorizado y solamente en las horas convenidas
∙ Los servicios deben ser recuperables dentro de los parámetros
convenidos de confidencialidad e integridad
∙ Los servicios se deben diseñar y funcionar dentro de las políticas de
seguridad
∙ Los contratistas deben tener acceso al hardware o al software
Nota: Para más información, ir a http://www.itil.org/itil_e/itil_e_080.html
Seguridad Informática
La norma ISO/IEC 27000:2018 (5ta edición)
Seguridad Informática
Entorno la norma ISO/IEC 27000:2018
ISO 27001-2005
Seguridad Informática
Esquema de la Seguridad de la Inform.
∙ Tres ejes fundamentales que tienen que implementarse de forma
integrada:
Políticas
Recursos
Tecnología
Humanos
Seguridad Informática
Leyes de seguridad informática en Perú
∙ RESOLUCIÓN MINISTERIAL Nº 246-2007-PCM
Aprueban uso obligatorio de la Norma Técnica Peruana “NTP-
ISO/IEC 17799:2007 EDI. Tecnología de la Información. Código de
buenas prácticas para la gestión de la seguridad de la información.
2a. Edición” en todas las entidades integrantes del Sistema
Nacional de Informática
Fuente: http://www.ongei.gob.pe/bancos/banco_normas/archivos/P01-PCM-ISO17799-001-V2.pdf
∙ Ley 28493, del 2005, que regula el uso del correo electrónico
comercial no solicitado (SPAM).
Seguridad Informática
Leyes de seguridad informática en Perú
∙ Resolución Ministerial N° 224-2004-PCM.- Aprueban uso
obligatorio de la Norma Técnica Peruana "NTP-ISO/IEC
17799:2004 EDI“
Seguridad Informática
Leyes de seguridad informática en Perú
∙ Ley 29733 Protección de Datos Personales.
∙ Normativas de la SBS.
Seguridad Informática
Lecturas Recomendadas …continúa
∙ Comunicaciones Móviles
Seguridad Informática
Videos Recomendados
∙ Hackers La Trilogía
Hackers 1 : Piratas Informáticos
Seguridad Informática
Videos Recomendados
∙ Juego de Espías
Spy Game. EE.UU.,2001, 125'
Seguridad Informática
Videos Recomendados
∙ El Código da Vinci
The Da Vinci Code. Estados Unidos,
2006, 146 minutos
Dirección: Ron Howard
∙ Códigos de Guerra
Windtalkers. EE.UU., 2002, 132' .
Dirección: John Woo
∙ Infiltrados
The Departed. USA, 2006.
Director: Martin Scorsese
Seguridad Informática
Certificaciones en Seguridad Informática
∙ CISSP : Certified Information Systems Security Professional
∙ ISO 17799 :
∙ CMMI : Capability Maturity Model Integration (Carnegie Mellon, Software Engineering Institute)
Seguridad Informática
Resumen
Seguridad Informática
Recursos Web
∙ Proyecto Abierto de Seguridad de Aplicaciones Web (OWASP - Open Web
Application Security Project )
∙ http://www.owasp.org/index.php/Main_Page
∙ http://www.criptored.upm.es/guiateoria/gt_m001a.htm
∙ http://www.segu-info.com.ar/
Seguridad Informática
Recursos Web …continúa
∙ http://www.cert.org/
∙ http://www.criptored.upm.es/paginas/docencia.htm
∙ http://www.mslatam.com/latam/technet/cso/Html-ES/home.asp
∙ http://www.hispasec.com/
Seguridad Informática
Recursos Web …continúa
∙ http://csrc.nist.gov/publications/PubsSPs.html
Seguridad Informática
Preguntas ?
Seguridad Informática