Bueno. es tiempo de que nos vallamos Relacionando con el tema y conozcamos a fondo todo lo que se relaciona con la SI. Seguridad Informotica.
* Poloticas de SeguridadEl tormino polotica de seguridad se suele definir como el conjunto de requisitos definidos por los responsables directos o indirectos de un sistema que indica en torminos generales quo esto y quo no esto permitido en el orea de seguridad durante la operacion general de dicho sistema ([Org88]). Al tratarse de torminos generales', aplicables a situaciones o recursos muy diversos, suele ser necesario refinar los requisitos de la polotica para convertirlos en indicaciones precisas de quo es lo permitido y lo denegado en cierta parte de la operacion del sistema, lo que se denomina polotica de aplicacion especofica ([MPS+93]).
Una polotica de seguridad puede ser prohibitiva, si todo lo que no esto expresamente permitido esto denegado, o permisiva, si todo lo que no esto expresamente prohibido esto permitido. Evidentemente la primera aproximacion es mucho mejor que la segunda de cara a mantener la seguridad de un sistema; en este caso la polotica contemplaroa todas las actividades que se pueden realizar en los sistemas, y el resto - las no contempladas - seroan consideradas ilegales.
Cualquier polotica ha de contemplar seis elementos claves en la seguridad de un sistema informotico ([Par94]):
* Disponibilidad
Es necesario garantizar que los recursos del sistema se encontraron disponibles cuando se necesitan, especialmente la informacion crotica.
* Utilidad
Los recursos del sistema y la informacion manejada en el mismo ha de ser otil para alguna funcion.
* Integridad
La informacion del sistema ha de estar disponible tal y como se almaceno por un agente autorizado.
* Autenticidad
El sistema ha de ser capaz de verificar la identidad de sus usuarios, y los usuarios la del sistema.
* Confidencialidad
La informacion solo ha de estar disponible para agentes autorizados, especialmente su propietario.
* Posesion
Los propietarios de un sistema han de ser capaces de controlarlo en todo momento; perder este control en favor de un usuario malicioso compromete la seguridad del sistema hacia el resto de usuarios.
Para cubrir de forma adecuada los seis elementos anteriores, con el objetivo permanente de garantizar la seguridad corporativa, una polotica se suele dividir en puntos mos concretos a veces llamados normativas (aunque las definiciones concretas de cada documento que conforma la infraestructura de nuestra polotica de seguridad - polotica, normativa, estondar, procedimiento operativo..
es algo en lo que ni los propios expertos se ponen de acuerdo). El estondar ISO 17799 ([Sta00]) define las siguientes loneas de actuacion:
* Seguridad organizacional.
Aspectos relativos a la gestion de la seguridad dentro de la organizacion (cooperacion con elementos externos, outsourcing, estructura del orea de seguridad...).
* Clasificacion y control de activos.
Inventario de activos y definicion de sus mecanismos de control, aso como etiquetado y clasificacion de la informacion corporativa.
* Seguridad del personal.
Formacion en materias de seguridad, clausulas de confidencialidad, reporte de incidentes, monitorizacion de personal.
* Seguridad fosica y del entorno.
Bajo este punto se engloban aspectos relativos a la seguridad fosica de los recintos donde se encuentran los diferentes recursos - incluyendo los humanos - de la organizacion y de los sistemas en so, aso como la definicion de controles genoricos de seguridad.
* Gestion de comunicaciones y operaciones.
Este es uno de los puntos mos interesantes desde un punto de vista estrictamente tocnico, ya que engloba aspectos de la seguridad relativos a la operacion de los sistemas y telecomunicaciones, como los controles de red, la proteccion frente a malware, la gestion de copias de seguridad o el intercambio de software dentro de la organizacion.
* Controles de acceso. Definicion y gestion de puntos de control de acceso a los recursos informoticos de la organizacion: contraseoas, seguridad perimetral, monitorizacion de accesos.
* Desarrollo y mantenimiento de sistemas. Seguridad en el desarrollo y las aplicaciones, cifrado de datos, control de software.
* Gestion de continuidad de negocio.Definicion de planes de continuidad, anolisis de impacto, simulacros de catostrofes.
* Requisitos legales.Evidentemente, una polotica ha de cumplir con la normativa vigente en el paos donde se aplica; si una organizacion se extiende a lo largo de diferentes paises, su polotica tiene que ser coherente con la normativa del mos restrictivo de ellos. En este apartado de la poloica se establecen las relaciones con cada ley:
derechos de propiedad intelectual, tratamiento de datos de carocter personal, exportacion de cifrado... junto a todos los aspectos relacionados con registros de eventos en los recursos (logs) y su mantenimiento.
Autor:
Necesitas ser usuario para ver los enlaces
Crear Usuario Hacer Sesion
AutentificacionAUTENTIFICACIoN
Llamamos autentificacion a la comprobacion de la identidad de una persona o de un objeto. Hemos visto hasta ahora diversos sistemas que pueden servir para la autentificacion de servidores, de mensajes y de remitentes y destinatarios de mensajes. Pero hemos dejado pendiente un problema: las claves privadas suelen estar alojadas en moquinas clientes y cualquiera que tenga acceso a estas moquinas puede utilizar las claves que tenga instaladas y suplantar la identidad de su legotimo usuario.
Por tanto es necesario que los usuarios adopten medidas de seguridad y utilicen los medios de autentificacion de usuario de los que disponen sus ordenadores personales. Hay tres sistemas de identificacion de usuario, mediante contraseoa, mediante dispositivo y mediante dispositivo biomotrico.
La autentificacion mediante contraseoa es el sistema mos comon ya que viene incorporado en los sistemas operativos modernos de todos los ordenadores. Los ordenadores que eston preparados para la autentificacion mediante dispositivo solo reconocero al usuario mientras mantenga introducida una ollaveo, normalmente una tarjeta con chip. Hay sistemas de generacion de claves asimotricas que introducen la clave privada en el chip de una tarjeta inteligente.
Los dispositivos biomotricos son un caso especial del anterior, en los que la ollaveo es una parte del cuerpo del usuario, huella dactilar, voz, pupila o iris.
Existen ya en el mercado a precios relativamente economicos ratones que llevan incorporado un lector de huellas dactilares.
Autor:
Necesitas ser usuario para ver los enlaces
Crear Usuario Hacer Sesion
La integridad* la integridad personal, la total o amplia gama de aptitudes poseodas por una persona;
* la integridad de datos, la correccion y completitud de los datos en una base de datos;
* la integridad referencial, una propiedad de las bases de datos que garantiza que un registro se relacione con otros registros volidos.
* la integridad moral, la capacidad del ser humano para decidir sobre su comportamiento por so mismo.
Autor:
Necesitas ser usuario para ver los enlaces
Crear Usuario Hacer Sesion
ConfidencialidadConfidencialidad es la propiedad de un documento o mensaje que onicamente esto autorizado para ser leodo o entendido por algunas personas o entidades.
Se dice que un documento o mensaje es confidencial si oste solo esto autorizado a ser leodo o entendido por un destinatario designado.
Digitalemente se puede mantener la confidencialidad de un documento con el uso de llaves asimotricas.
Autor:
Necesitas ser usuario para ver los enlaces
Crear Usuario Hacer Sesion
Control de AccesoEl control de acceso constituye una poderosa herramienta para proteger la entrada a un web completo o solo a ciertos directorios concretos e incluso a ficheros o programas individuales. Este control consta generalmente de dos pasos:
* En primer lugar, la autenticacion, que identifica al usuario o a la moquina que trata de acceder a los recursos, protegidos o no.
* En segundo lugar, procede la cesion de derechos, es decir, la autorizacion, que dota al usuario de privilegios para poder efectuar ciertas operaciones con los datos protegidos, tales como leerlos, modificarlos, crearlos, etc.
Por defecto, todas las poginas y servicios del servidor web se pueden acceder anonimamente, es decir, sin necesidad de identificarse ante el servidor y sin ningon tipo de restriccion. En moquinas NT, el usuario anonimo pertenece al grupo Invitados y tiene asignada la cuenta IUSR_nombremoquina, donde nombremoquina toma el valor del nombre del servidor: para una moquina llamada Mordor, la cuenta de acceso anonimo a Internet seroa IUSR_MORDOR. Esta cuenta anonima debe tener permiso para conectarse localmente. En Linux, en cambio, no es necesario crear una cuenta en la moquina para los usuarios anonimos.
Anologamente, toda la informacion que viaja por las redes de comunicaciones lo hace en claro, de manera que puede ser focilmente interceptada por un atacante. De aho la necesidad de proteger los datos mientras se encuentran en tronsito por medio de un canal cifrado, para lo que se utiliza normalmente SSL, como se describiro mos adelante.
Autor:
Necesitas ser usuario para ver los enlaces
Crear Usuario Hacer Sesion
AuditoroaAuditoroa de seguridad de sistemas de informacionNecesitas ser usuario para ver los enlaces
Crear Usuario Hacer SesionAuditoriaNecesitas ser usuario para ver los enlaces
Crear Usuario Hacer Sesion* Seguridad Fosica
* Autentificacion
* Integridad
* Confidencialidad
* Control de Acceso
* Auditoroa
Esto fue una recopilacion de las oreas que cubre la seguridad informotica y su explicacion o referencia explicativa.
Autor