Comunidad Underground Hispana  

Retroceder   Comunidad Underground Hispana > Phreaking, Hacking y Seguridad > Seguridad


Tema Cerrado Crear Nuevo Tema
 
Compartir en twitter LinkBack Herramientas Desplegado
Antiguo 15-may-2007, 22:28   #1
R-Beter
Guest
 
Amigos
Mensajes: n/a
Predeterminado Areas que cubre la seguridad informática

Bueno. es tiempo de que nos vallamos Relacionando con el tema y conozcamos a fondo todo lo que se relaciona con la SI. Seguridad Inform�tica.

* Pol�ticas de Seguridad

El t�rmino pol�tica de seguridad se suele definir como el conjunto de requisitos definidos por los responsables directos o indirectos de un sistema que indica en t�rminos generales qu� est� y qu� no est� permitido en el �rea de seguridad durante la operaci�n general de dicho sistema ([Org88]). Al tratarse de t�rminos generales', aplicables a situaciones o recursos muy diversos, suele ser necesario refinar los requisitos de la pol�tica para convertirlos en indicaciones precisas de qu� es lo permitido y lo denegado en cierta parte de la operaci�n del sistema, lo que se denomina pol�tica de aplicaci�n espec�fica ([MPS+93]).

Una pol�tica de seguridad puede ser prohibitiva, si todo lo que no est� expresamente permitido est� denegado, o permisiva, si todo lo que no est� expresamente prohibido est� permitido. Evidentemente la primera aproximaci�n es mucho mejor que la segunda de cara a mantener la seguridad de un sistema; en este caso la pol�tica contemplar�a todas las actividades que se pueden realizar en los sistemas, y el resto - las no contempladas - ser�an consideradas ilegales.

Cualquier pol�tica ha de contemplar seis elementos claves en la seguridad de un sistema inform�tico ([Par94]):

* Disponibilidad

Es necesario garantizar que los recursos del sistema se encontrar�n disponibles cuando se necesitan, especialmente la informaci�n cr�tica.

* Utilidad

Los recursos del sistema y la informaci�n manejada en el mismo ha de ser �til para alguna funci�n.

* Integridad

La informaci�n del sistema ha de estar disponible tal y como se almacen� por un agente autorizado.

* Autenticidad

El sistema ha de ser capaz de verificar la identidad de sus usuarios, y los usuarios la del sistema.

* Confidencialidad

La informaci�n s�lo ha de estar disponible para agentes autorizados, especialmente su propietario.

* Posesi�n

Los propietarios de un sistema han de ser capaces de controlarlo en todo momento; perder este control en favor de un usuario malicioso compromete la seguridad del sistema hacia el resto de usuarios.

Para cubrir de forma adecuada los seis elementos anteriores, con el objetivo permanente de garantizar la seguridad corporativa, una pol�tica se suele dividir en puntos m�s concretos a veces llamados normativas (aunque las definiciones concretas de cada documento que conforma la infraestructura de nuestra pol�tica de seguridad - pol�tica, normativa, est�ndar, procedimiento operativo..
es algo en lo que ni los propios expertos se ponen de acuerdo). El est�ndar ISO 17799 ([Sta00]) define las siguientes l�neas de actuaci�n:


* Seguridad organizacional.

Aspectos relativos a la gesti�n de la seguridad dentro de la organizaci�n (cooperaci�n con elementos externos, outsourcing, estructura del �rea de seguridad...).

* Clasificaci�n y control de activos.

Inventario de activos y definici�n de sus mecanismos de control, as� como etiquetado y clasificaci�n de la informaci�n corporativa.

* Seguridad del personal.

Formaci�n en materias de seguridad, clausulas de confidencialidad, reporte de incidentes, monitorizaci�n de personal.

* Seguridad f�sica y del entorno.

Bajo este punto se engloban aspectos relativos a la seguridad f�sica de los recintos donde se encuentran los diferentes recursos - incluyendo los humanos - de la organizaci�n y de los sistemas en s�, as� como la definici�n de controles gen�ricos de seguridad.

* Gesti�n de comunicaciones y operaciones.

Este es uno de los puntos m�s interesantes desde un punto de vista estrictamente t�cnico, ya que engloba aspectos de la seguridad relativos a la operaci�n de los sistemas y telecomunicaciones, como los controles de red, la protecci�n frente a malware, la gesti�n de copias de seguridad o el intercambio de software dentro de la organizaci�n.

* Controles de acceso.

Definici�n y gesti�n de puntos de control de acceso a los recursos inform�ticos de la organizaci�n: contrase�as, seguridad perimetral, monitorizaci�n de accesos.

* Desarrollo y mantenimiento de sistemas.

Seguridad en el desarrollo y las aplicaciones, cifrado de datos, control de software.

* Gesti�n de continuidad de negocio.

Definici�n de planes de continuidad, an�lisis de impacto, simulacros de cat�strofes.

* Requisitos legales.

Evidentemente, una pol�tica ha de cumplir con la normativa vigente en el pa�s donde se aplica; si una organizaci�n se extiende a lo largo de diferentes paises, su pol�tica tiene que ser coherente con la normativa del m�s restrictivo de ellos. En este apartado de la pol�ica se establecen las relaciones con cada ley:

derechos de propiedad intelectual, tratamiento de datos de car�cter personal, exportaci�n de cifrado... junto a todos los aspectos relacionados con registros de eventos en los recursos (logs) y su mantenimiento.

Autor:

[Solo usuarios registrados pueden ver los links. REGISTRARSE]



_________________________________________________

Autentificaci�n

AUTENTIFICACI�N

Llamamos autentificaci�n a la comprobaci�n de la identidad de una persona o de un objeto. Hemos visto hasta ahora diversos sistemas que pueden servir para la autentificaci�n de servidores, de mensajes y de remitentes y destinatarios de mensajes. Pero hemos dejado pendiente un problema: las claves privadas suelen estar alojadas en m�quinas clientes y cualquiera que tenga acceso a estas m�quinas puede utilizar las claves que tenga instaladas y suplantar la identidad de su leg�timo usuario.

Por tanto es necesario que los usuarios adopten medidas de seguridad y utilicen los medios de autentificaci�n de usuario de los que disponen sus ordenadores personales. Hay tres sistemas de identificaci�n de usuario, mediante contrase�a, mediante dispositivo y mediante dispositivo biom�trico.

La autentificaci�n mediante contrase�a es el sistema m�s com�n ya que viene incorporado en los sistemas operativos modernos de todos los ordenadores. Los ordenadores que est�n preparados para la autentificaci�n mediante dispositivo s�lo reconocer� al usuario mientras mantenga introducida una �llave�, normalmente una tarjeta con chip. Hay sistemas de generaci�n de claves asim�tricas que introducen la clave privada en el chip de una tarjeta inteligente.

Los dispositivos biom�tricos son un caso especial del anterior, en los que la �llave� es una parte del cuerpo del usuario, huella dactilar, voz, pupila o iris.

Existen ya en el mercado a precios relativamente econ�micos ratones que llevan incorporado un lector de huellas dactilares.

Autor:

[Solo usuarios registrados pueden ver los links. REGISTRARSE]



_________________________________________________

La integridad

* la integridad personal, la total o amplia gama de aptitudes pose�das por una persona;

* la integridad de datos, la correcci�n y completitud de los datos en una base de datos;

* la integridad referencial, una propiedad de las bases de datos que garantiza que un registro se relacione con otros registros v�lidos.

* la integridad moral, la capacidad del ser humano para decidir sobre su comportamiento por s� mismo.

Autor:

[Solo usuarios registrados pueden ver los links. REGISTRARSE]



_________________________________________________

Confidencialidad

Confidencialidad es la propiedad de un documento o mensaje que �nicamente est� autorizado para ser le�do o entendido por algunas personas o entidades.

Se dice que un documento o mensaje es confidencial si �ste s�lo est� autorizado a ser le�do o entendido por un destinatario designado.

Digitalemente se puede mantener la confidencialidad de un documento con el uso de llaves asim�tricas.

Autor:

[Solo usuarios registrados pueden ver los links. REGISTRARSE]



_________________________________________________

Control de Acceso

El control de acceso constituye una poderosa herramienta para proteger la entrada a un web completo o s�lo a ciertos directorios concretos e incluso a ficheros o programas individuales. Este control consta generalmente de dos pasos:

* En primer lugar, la autenticaci�n, que identifica al usuario o a la m�quina que trata de acceder a los recursos, protegidos o no.

* En segundo lugar, procede la cesi�n de derechos, es decir, la autorizaci�n, que dota al usuario de privilegios para poder efectuar ciertas operaciones con los datos protegidos, tales como leerlos, modificarlos, crearlos, etc.

Por defecto, todas las p�ginas y servicios del servidor web se pueden acceder an�nimamente, es decir, sin necesidad de identificarse ante el servidor y sin ning�n tipo de restricci�n. En m�quinas NT, el usuario an�nimo pertenece al grupo Invitados y tiene asignada la cuenta IUSR_nombrem�quina, donde nombrem�quina toma el valor del nombre del servidor: para una m�quina llamada Mordor, la cuenta de acceso an�nimo a Internet ser�a IUSR_MORDOR. Esta cuenta an�nima debe tener permiso para conectarse localmente. En Linux, en cambio, no es necesario crear una cuenta en la m�quina para los usuarios an�nimos.


An�logamente, toda la informaci�n que viaja por las redes de comunicaciones lo hace en claro, de manera que puede ser f�cilmente interceptada por un atacante. De ah� la necesidad de proteger los datos mientras se encuentran en tr�nsito por medio de un canal cifrado, para lo que se utiliza normalmente SSL, como se describir� m�s adelante.

Autor:

[Solo usuarios registrados pueden ver los links. REGISTRARSE]



_________________________________________________

Auditor�a


Auditor�a de seguridad de sistemas de informaci�n

[Solo usuarios registrados pueden ver los links. REGISTRARSE]



Auditoria

[Solo usuarios registrados pueden ver los links. REGISTRARSE]



* Seguridad F�sica
* Autentificaci�n
* Integridad
* Confidencialidad
* Control de Acceso
* Auditor�a

_________________________________________________


Esto fue una recopilaci�n de las �reas que cubre la seguridad inform�tica y su explicaci�n o referencia explicativa.
 
Tema Cerrado

Herramientas
Desplegado

Normas de Publicación
No puedes crear nuevos temas
No puedes responder mensajes
No puedes subir archivos adjuntos
No puedes editar tus mensajes

Los Códigos BB están Activado
Las Caritas están Activado
[IMG] está Activado
El Código HTML está Desactivado
Trackbacks están Activado
Pingbacks están Activado
Refbacks están Activado



Temas Similares
Tema Autor Foro Respuestas Último mensaje
Canal de seguridad informática mikeollie Networking & Wireless 2 27-dic-2009 00:08
Foro de seguridad informática skapunky Paginas Webs Recomendadas 0 26-jun-2008 09:54
Noticias / Seguridad informática R-Beter Seguridad 6 15-ago-2007 04:07



Portal Hacker
Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2014, Jelsoft Enterprises Ltd.
SEO by vBSEO 3.6.0