SEGURIDAD EN SISTEMAS DE INFORMACIÓN CARMEN R. CINTRÓN FERRER - 2011-15, DERECHOS RESERVADOS.
-
Upload
josefina-campos-gomez -
Category
Documents
-
view
216 -
download
0
Transcript of SEGURIDAD EN SISTEMAS DE INFORMACIÓN CARMEN R. CINTRÓN FERRER - 2011-15, DERECHOS RESERVADOS.
![Page 1: SEGURIDAD EN SISTEMAS DE INFORMACIÓN CARMEN R. CINTRÓN FERRER - 2011-15, DERECHOS RESERVADOS.](https://reader035.fdocuments.mx/reader035/viewer/2022070416/5665b47d1a28abb57c91e96e/html5/thumbnails/1.jpg)
SEGURIDAD EN SISTEMAS DE INFORMACIÓN
C A R M E N R . C I N T R Ó N F E R R E R - 2 0 1 1 - 1 5 , D E R E C H O S R E S E R V A D O S
![Page 2: SEGURIDAD EN SISTEMAS DE INFORMACIÓN CARMEN R. CINTRÓN FERRER - 2011-15, DERECHOS RESERVADOS.](https://reader035.fdocuments.mx/reader035/viewer/2022070416/5665b47d1a28abb57c91e96e/html5/thumbnails/2.jpg)
INTRODUCCIÓN
¿Por qué estoy en este seminario?
¿Cuál es el interés de Sagrado?
¿Qué pueden aportar las tecnologías de información en la protección de Sagrado?
¿Qué debo contribuir para lograrlo?
C A R M E N R . C I N T R Ó N F E R R E R , 2 0 1 1 - 1 5 , D E R E C H O S R E S E R V A D O S
![Page 3: SEGURIDAD EN SISTEMAS DE INFORMACIÓN CARMEN R. CINTRÓN FERRER - 2011-15, DERECHOS RESERVADOS.](https://reader035.fdocuments.mx/reader035/viewer/2022070416/5665b47d1a28abb57c91e96e/html5/thumbnails/3.jpg)
INTRODUCCIÓN
Administro, custodio y/o utilizo recursos
Contribuyo al manejo efectivo de riesgos
Colaboro en implantar: Visión (Cultura Corporativa de Seguridad) Políticas, procedimientos y estándares Controles objetivos, uniformes y continuos Registro de vulnerabilidades y/o incidentes Generar informes Anticipar escenarios Facilitar la recuperación o restauración
C A R M E N R . C I N T R Ó N F E R R E R , 2 0 1 1 - 1 5 , D E R E C H O S R E S E R V A D O S
![Page 4: SEGURIDAD EN SISTEMAS DE INFORMACIÓN CARMEN R. CINTRÓN FERRER - 2011-15, DERECHOS RESERVADOS.](https://reader035.fdocuments.mx/reader035/viewer/2022070416/5665b47d1a28abb57c91e96e/html5/thumbnails/4.jpg)
EJERCICIO 1INCIDENTES COMO LOS OCURRIDOS EN:
¿Podrían ocurrir en Puerto Rico?
¿Podrían ocurrir en Sagrado?
¿Se pueden evitar? ¿Reducir su impacto?C A R M E N R . C I N T R Ó N F E R R E R , 2 0 1 1 - 1 5 , D E R E C H O S R E S E R V A D O S
Evento Tipo de evento Escenarios
NASA (Houston)
Virginia TechAlabama University
TJ Max
Administración de VeteranosNew Orleáns
Haití/Chile
WikiLeaks
![Page 5: SEGURIDAD EN SISTEMAS DE INFORMACIÓN CARMEN R. CINTRÓN FERRER - 2011-15, DERECHOS RESERVADOS.](https://reader035.fdocuments.mx/reader035/viewer/2022070416/5665b47d1a28abb57c91e96e/html5/thumbnails/5.jpg)
EJERCICIO 1 - RIESGOS
C A R M E N R . C I N T R Ó N F E R R E R , 2 0 1 1 - 1 5 , D E R E C H O S R E S E R V A D O S
Riesgo = (Amenaza*Vulnerabilidad/Estrategias o Medidas)*Valor
• Vulnerabilidades prevenibles
• Amenazas previsibles
• Intención anticipable
• ¿Cultura de seguridad?
![Page 6: SEGURIDAD EN SISTEMAS DE INFORMACIÓN CARMEN R. CINTRÓN FERRER - 2011-15, DERECHOS RESERVADOS.](https://reader035.fdocuments.mx/reader035/viewer/2022070416/5665b47d1a28abb57c91e96e/html5/thumbnails/6.jpg)
MÓDULOINTRODUCCIÓN - TIPOS DE ATAQUES
Físicos: Vandalismo Robo Interceptación
Comunicación: Impostura Adulteración de tráfico, mensajes Fisgonear (“Eavesdropping”)
Penetración: Escáners Negación de Servicios (DoS) Código malicioso (virus)
Ingeniería social: Robo de claves (“passwords”) Robo de información Abrir documentos (“attachments”)
C A R M E N R . C I N T R Ó N F E R R E R , 2 0 11 - 1 5 , D E R E C H O S R E S E R VA D O S
![Page 7: SEGURIDAD EN SISTEMAS DE INFORMACIÓN CARMEN R. CINTRÓN FERRER - 2011-15, DERECHOS RESERVADOS.](https://reader035.fdocuments.mx/reader035/viewer/2022070416/5665b47d1a28abb57c91e96e/html5/thumbnails/7.jpg)
MÓDULOINTRODUCCIÓN - TIPO DE ATACANTES
“Hackers”: Intencionales Técnicos excepcionales Empleo de rutinas
(“scripts”) “Crackers” “White hackers” Agrupaciones
Virus: Codificadores Distribuidores “Script Kiddies”
Criminales: Robo de identidad Extorsión Robo de propiedad:
intelectual industrial
Empleados: Sabotaje Oportunidad (valores) Consultores y contratistas
Terrorismo cibernético: Ataca infraestructuras Actuación concertada (gob/ind)
C A R M E N R . C I N T R Ó N F E R R E R , 2 0 11 - 1 5 , D E R E C H O S R E S E R VA D O S
![Page 8: SEGURIDAD EN SISTEMAS DE INFORMACIÓN CARMEN R. CINTRÓN FERRER - 2011-15, DERECHOS RESERVADOS.](https://reader035.fdocuments.mx/reader035/viewer/2022070416/5665b47d1a28abb57c91e96e/html5/thumbnails/8.jpg)
MÓDULOINTRODUCCIÓN - RESPUESTA
Compromiso Gerencial: Alta gerencia debe asignar alta prioridad Asignar recursos requeridos Integrar a las operaciones diarias Poner en vigor (“enforce”) medidas
Enfoque integral: Considerar todas las áreas de riesgo Identificar todas las vulnerabilidades posibles Establecer múltiples niveles de protección Auditar y fiscalizar continuamente
C A R M E N R . C I N T R Ó N F E R R E R , 2 0 1 1 - 1 5 , D E R E C H O S R E S E R V A D O S
![Page 9: SEGURIDAD EN SISTEMAS DE INFORMACIÓN CARMEN R. CINTRÓN FERRER - 2011-15, DERECHOS RESERVADOS.](https://reader035.fdocuments.mx/reader035/viewer/2022070416/5665b47d1a28abb57c91e96e/html5/thumbnails/9.jpg)
CONCEPTOS BÁSICOS
Recursos de información (def)
Seguridad (def)
Riesgos (clasif)
Arquitectura de seguridad (modelo)
C A R M E N R . C I N T R Ó N F E R R E R , 2 0 1 1 - 1 5 , D E R E C H O S R E S E R V A D O S
![Page 10: SEGURIDAD EN SISTEMAS DE INFORMACIÓN CARMEN R. CINTRÓN FERRER - 2011-15, DERECHOS RESERVADOS.](https://reader035.fdocuments.mx/reader035/viewer/2022070416/5665b47d1a28abb57c91e96e/html5/thumbnails/10.jpg)
RECURSOS DE INFORMACIÓN(DEFINICIÓN)
Personal técnico y su conocimientoEquipo de tecnología informática
Hardware Software Network
Depósitos de datos/información o conocimiento Procedimientos apoyados mediante tecnología Infraestructura de comunicación y conexiónOtras tecnologías asociada *
C A R M E N R . C I N T R Ó N F E R R E R , 2 0 1 1 - 1 5 , D E R E C H O S R E S E R V A D O S
![Page 11: SEGURIDAD EN SISTEMAS DE INFORMACIÓN CARMEN R. CINTRÓN FERRER - 2011-15, DERECHOS RESERVADOS.](https://reader035.fdocuments.mx/reader035/viewer/2022070416/5665b47d1a28abb57c91e96e/html5/thumbnails/11.jpg)
SEGURIDAD DE LOS RECURSOS DE INFORMACIÓN(DEFINICIÓN)
Conjunto de medidas
Adoptadas para prevenir o limitar: el uso o acceso indebido la adulteración, eliminación o divulgación
De los activos informáticos críticos
De una organización
C A R M E N R . C I N T R Ó N F E R R E R , 2 0 1 1 - 1 5 , D E R E C H O S R E S E R V A D O S
![Page 12: SEGURIDAD EN SISTEMAS DE INFORMACIÓN CARMEN R. CINTRÓN FERRER - 2011-15, DERECHOS RESERVADOS.](https://reader035.fdocuments.mx/reader035/viewer/2022070416/5665b47d1a28abb57c91e96e/html5/thumbnails/12.jpg)
SEGURIDAD DE LOS RECURSOS DE INFORMACIÓN(OBJETIVOS)
Confidencialidad Impedir el acceso no autorizado
Integridad Evitar la contaminación o modificación indebida
Disponibilidad Permitir el acceso autorizado
Validación (“Non Repudiation”) Evitar el que se repudien mensajes o actos Asegurar que éstos se mantengan íntegros
C A R M E N R . C I N T R Ó N F E R R E R , 2 0 1 1 - 1 5 , D E R E C H O S R E S E R V A D O S
![Page 13: SEGURIDAD EN SISTEMAS DE INFORMACIÓN CARMEN R. CINTRÓN FERRER - 2011-15, DERECHOS RESERVADOS.](https://reader035.fdocuments.mx/reader035/viewer/2022070416/5665b47d1a28abb57c91e96e/html5/thumbnails/13.jpg)
SEGURIDAD DE LOS RECURSOS DE INFORMACIÓN(ETAPAS O NIVELES)
Física
Comunicación (interceptación)
Tecnología informática (“reliable”)
Perfil del usuario (criterios para acceso)
Redes (confiabilidad)
Recursos de Información*
C A R M E N R . C I N T R Ó N F E R R E R , 2 0 1 1 - 1 5 , D E R E C H O S R E S E R V A D O S
![Page 14: SEGURIDAD EN SISTEMAS DE INFORMACIÓN CARMEN R. CINTRÓN FERRER - 2011-15, DERECHOS RESERVADOS.](https://reader035.fdocuments.mx/reader035/viewer/2022070416/5665b47d1a28abb57c91e96e/html5/thumbnails/14.jpg)
C A R M E N R . C I N T R Ó N F E R R E R , 2 0 11 - 1 5 , D E R E C H O S R E S E R VA D O S
¿Conoces los riesgos?
¿Puedes identificarlos?
![Page 15: SEGURIDAD EN SISTEMAS DE INFORMACIÓN CARMEN R. CINTRÓN FERRER - 2011-15, DERECHOS RESERVADOS.](https://reader035.fdocuments.mx/reader035/viewer/2022070416/5665b47d1a28abb57c91e96e/html5/thumbnails/15.jpg)
SEGURIDAD DE LOS RECURSOS DE INFORMACIÓN(RIESGOS TÍPICOS)
Uso indebidoAmenazas internasAmenazas externasFallas en la infraestructura:
Hardware Software Network Conexión
*
C A R M E N R . C I N T R Ó N F E R R E R , 2 0 1 1 - 1 5 , D E R E C H O S R E S E R V A D O S
![Page 16: SEGURIDAD EN SISTEMAS DE INFORMACIÓN CARMEN R. CINTRÓN FERRER - 2011-15, DERECHOS RESERVADOS.](https://reader035.fdocuments.mx/reader035/viewer/2022070416/5665b47d1a28abb57c91e96e/html5/thumbnails/16.jpg)
RIESGOS DE SEGURIDAD - USO INDEBIDO
Abuso de privilegiosAcceder y/o adulterar:
Datos Documentos/información Procesos
Modificar privilegios de acceso o seguridadIntentos de lograr acceso a:
Servicios Servidores Aplicaciones Bancos de datos no disponibles
Divulgar datos/documentos/información confidencial o protegida *
C A R M E N R . C I N T R Ó N F E R R E R , 2 0 1 1 - 1 5 , D E R E C H O S R E S E R V A D O S
![Page 17: SEGURIDAD EN SISTEMAS DE INFORMACIÓN CARMEN R. CINTRÓN FERRER - 2011-15, DERECHOS RESERVADOS.](https://reader035.fdocuments.mx/reader035/viewer/2022070416/5665b47d1a28abb57c91e96e/html5/thumbnails/17.jpg)
RIESGOS DE SEGURIDAD – AMENAZAS INTERNAS
Empleados: Involuntariamente (error o negligencia) Intencionalmente (disgustados,
despedidos) Empleados comprometidos (informantes)
Ex- empleadosContratistas, temporeros, otrosAsociados:
Clientes Proveedores o “business partners”
*
C A R M E N R . C I N T R Ó N F E R R E R , 2 0 1 1 - 1 5 , D E R E C H O S R E S E R V A D O S
![Page 18: SEGURIDAD EN SISTEMAS DE INFORMACIÓN CARMEN R. CINTRÓN FERRER - 2011-15, DERECHOS RESERVADOS.](https://reader035.fdocuments.mx/reader035/viewer/2022070416/5665b47d1a28abb57c91e96e/html5/thumbnails/18.jpg)
RIESGOS DE SEGURIDAD - AMENAZAS EXTERNAS
Código malignoVirus, worms, logic bombs, spam, spyware, bots
Violadores cibernéticos Hackers/Crackers
Ingeniería social Social engineering
Pérdida de credibilidad Brand equity
Adulterar la sede virtual Graffiti
Interrupción de servicios Denial of service: Dummy transactions that overload target server Packet flooding Distributed DoS *
C A R M E N R . C I N T R Ó N F E R R E R , 2 0 1 1 - 1 5 , D E R E C H O S R E S E R V A D O S
![Page 19: SEGURIDAD EN SISTEMAS DE INFORMACIÓN CARMEN R. CINTRÓN FERRER - 2011-15, DERECHOS RESERVADOS.](https://reader035.fdocuments.mx/reader035/viewer/2022070416/5665b47d1a28abb57c91e96e/html5/thumbnails/19.jpg)
MODELO DE SEGURIDAD
C A R M E N R . C I N T R Ó N F E R R E R , 2 0 11 - 1 5 , D E R E C H O S R E S E R VA D O S
![Page 20: SEGURIDAD EN SISTEMAS DE INFORMACIÓN CARMEN R. CINTRÓN FERRER - 2011-15, DERECHOS RESERVADOS.](https://reader035.fdocuments.mx/reader035/viewer/2022070416/5665b47d1a28abb57c91e96e/html5/thumbnails/20.jpg)
MODELO DE SEGURIDAD - CULTURA DE SEGURIDAD
Comprende: Gente Procedimientos y Tecnologías
Promueve cambio en actitudes: Reactiva @ proactiva Proactiva @ predictiva
Planifica para que los activos de información: Estén acequibles Se integren a las funciones del negocio Respalden el desarrollo de nuevos productos/procesos Estén protegidos (minimizar los riesgos que afrontan)
C A R M E N R . C I N T R Ó N F E R R E R , 2 0 1 1 - 1 5 , D E R E C H O S R E S E R V A D O S
![Page 21: SEGURIDAD EN SISTEMAS DE INFORMACIÓN CARMEN R. CINTRÓN FERRER - 2011-15, DERECHOS RESERVADOS.](https://reader035.fdocuments.mx/reader035/viewer/2022070416/5665b47d1a28abb57c91e96e/html5/thumbnails/21.jpg)
MODELO DE SEGURIDADESTRATEGIAS DE SEGURIDAD
Tecnologías de seguridad: Firewalls y sistemas de monitoreo Antivirus & protección contra malware
Políticas y procedimientos: Uso de las tecnologías de información Identificación y Claves de acceso Protección de datos y confidencialidad de documentos Copias de resguardo Configuración de sistemas Investigación de personal
Plan de concienciación (“Awareness”)Equipo de respuesta a emergencias (CERT/CSIRT)
C A R M E N R . C I N T R Ó N F E R R E R , 2 0 1 1 - 1 5 , D E R E C H O S R E S E R V A D O S
![Page 22: SEGURIDAD EN SISTEMAS DE INFORMACIÓN CARMEN R. CINTRÓN FERRER - 2011-15, DERECHOS RESERVADOS.](https://reader035.fdocuments.mx/reader035/viewer/2022070416/5665b47d1a28abb57c91e96e/html5/thumbnails/22.jpg)
MODELO DE SEGURIDADPRINCIPIOS DE UNA CULTURA DE SEGURIDAD
Es responsabilidad gerencial proteger los activos informáticos de la organización.
El acceso se basa en necesidad: Persona Accede Información Cuando la necesita
La protección se enfoca por nivelesLas estrategias de mitigación está basadas en
costo efectividadLos procesos propenden a la confiabilidad
(“reliability”) y replicaciónHay consecuencias asociadas al incumplimiento
C A R M E N R . C I N T R Ó N F E R R E R , 2 0 1 1 - 1 5 , D E R E C H O S R E S E R V A D O S
![Page 23: SEGURIDAD EN SISTEMAS DE INFORMACIÓN CARMEN R. CINTRÓN FERRER - 2011-15, DERECHOS RESERVADOS.](https://reader035.fdocuments.mx/reader035/viewer/2022070416/5665b47d1a28abb57c91e96e/html5/thumbnails/23.jpg)
MODELO DE SEGURIDAD - GESTIÓN GERENCIAL
Proteger los activos de informaciónGarantizar (CIA):
Confidencialidad Integridad Disponibilidad
Asegurar los activos de información (“Information Assurance”)
Facilitar continuidad de operacionesCumplimiento con legislación aplicable
C A R M E N R . C I N T R Ó N F E R R E R , 2 0 1 1 - 1 5 , D E R E C H O S R E S E R V A D O S
![Page 24: SEGURIDAD EN SISTEMAS DE INFORMACIÓN CARMEN R. CINTRÓN FERRER - 2011-15, DERECHOS RESERVADOS.](https://reader035.fdocuments.mx/reader035/viewer/2022070416/5665b47d1a28abb57c91e96e/html5/thumbnails/24.jpg)
MANEJO D
E RIE
SGOS
C A R M E N R . C I N T R Ó N F E R R E R , 2 0 11 - 1 5 , D E R E C H O S R E S E R VA D O S
![Page 25: SEGURIDAD EN SISTEMAS DE INFORMACIÓN CARMEN R. CINTRÓN FERRER - 2011-15, DERECHOS RESERVADOS.](https://reader035.fdocuments.mx/reader035/viewer/2022070416/5665b47d1a28abb57c91e96e/html5/thumbnails/25.jpg)
MECANISMOS DE PROTECCIÓN - RIESGOS Y AMENAZAS
Intencionales: Empleados o contratistas Hacer daño, afectar imagen o interumpir operaciones Beneficio o lucro personal Represalia
Negligencia: Ignorancia Uso indebido Falta de adiestramiento Falta de actualización o protección Falta de mantenimiento Falta de fiscalización monitoring
C A R M E N R . C I N T R Ó N F E R R E R , 2 0 1 1 - 1 5 , D E R E C H O S R E S E R V A D O S
![Page 26: SEGURIDAD EN SISTEMAS DE INFORMACIÓN CARMEN R. CINTRÓN FERRER - 2011-15, DERECHOS RESERVADOS.](https://reader035.fdocuments.mx/reader035/viewer/2022070416/5665b47d1a28abb57c91e96e/html5/thumbnails/26.jpg)
Naturales: Fuego Terremoto Inundaciones o filtraciones Tormentas o tornados
Accidentales (Incidentes fuera de nuestro control, o actos sin intención): Interrupción o desconexión de servicios Desaparición o destrucción de archivos
C A R M E N R . C I N T R Ó N F E R R E R , 2 0 1 1 - 1 5 , D E R E C H O S R E S E R V A D O S
MECANISMOS DE PROTECCIÓN - RIESGOS Y AMENAZAS
![Page 27: SEGURIDAD EN SISTEMAS DE INFORMACIÓN CARMEN R. CINTRÓN FERRER - 2011-15, DERECHOS RESERVADOS.](https://reader035.fdocuments.mx/reader035/viewer/2022070416/5665b47d1a28abb57c91e96e/html5/thumbnails/27.jpg)
RIESGOS Y AMENAZAS - INHERENTES A LA TECNOLOGÍA
Fallos en Hardware debidos a: Diseño Construcción Instalación Desgaste natural
Fallos en Software: Diseño Errores de programación Instalación o integración Uso indebido
Fallos en la red: Diseño Arquitectura Errores de programación, Instalación o integración y
Uso indebido
C A R M E N R . C I N T R Ó N F E R R E R , 2 0 1 1 - 1 5 , D E R E C H O S R E S E R V A D O S
![Page 28: SEGURIDAD EN SISTEMAS DE INFORMACIÓN CARMEN R. CINTRÓN FERRER - 2011-15, DERECHOS RESERVADOS.](https://reader035.fdocuments.mx/reader035/viewer/2022070416/5665b47d1a28abb57c91e96e/html5/thumbnails/28.jpg)
RIESGOS Y AMENAZAS - EXTERNOS A LA ORGANIZACIÓN
Delitos: Vandalismo Robo/hurto Apropiación ilegal Vigilancia electrónica “Computer tresspass”
Hackers/Crackers ataque intencional para incursionar:
Redes Servidores Dispositivos Computadoras
Virus: Programas que se propagan para afectar:
Servidores o computadoras Borrar archivos o colmar la memoria (RAM/Discos)
Antivirus y Bloqueadores de virus
C A R M E N R . C I N T R Ó N F E R R E R , 2 0 1 1 - 1 5 , D E R E C H O S R E S E R V A D O S
![Page 29: SEGURIDAD EN SISTEMAS DE INFORMACIÓN CARMEN R. CINTRÓN FERRER - 2011-15, DERECHOS RESERVADOS.](https://reader035.fdocuments.mx/reader035/viewer/2022070416/5665b47d1a28abb57c91e96e/html5/thumbnails/29.jpg)
¿CUÁNTO
S RIE
SGOS
CONOCES?
C A R M E N R . C I N T R Ó N F E R R E R , 2 0 11 - 1 5 , D E R E C H O S R E S E R VA D O S
![Page 30: SEGURIDAD EN SISTEMAS DE INFORMACIÓN CARMEN R. CINTRÓN FERRER - 2011-15, DERECHOS RESERVADOS.](https://reader035.fdocuments.mx/reader035/viewer/2022070416/5665b47d1a28abb57c91e96e/html5/thumbnails/30.jpg)
Spyware (CompTiA A+)
Trojans & Worms
Bots
Phishing
IdTheft
Steganography
P2P
EXE
Social Engineering
Facebook & Google
Film downloading
Music/Film sharing
Online Piracy – IP
Web cams
Extorsion
Notebooks & laptops
Cellular phones (Malware)
C A R M E N R . C I N T R Ó N F E R R E R , 2 0 11 - 1 5 , D E R E C H O S R E S E R VA D O S
ESCENARIOS
![Page 31: SEGURIDAD EN SISTEMAS DE INFORMACIÓN CARMEN R. CINTRÓN FERRER - 2011-15, DERECHOS RESERVADOS.](https://reader035.fdocuments.mx/reader035/viewer/2022070416/5665b47d1a28abb57c91e96e/html5/thumbnails/31.jpg)
EJERCICIO 2
1. Identifique algunos riesgos de seguridad asociados a las Tecnologías de información
2. Clasifique y ordene los riesgos a base de probabilidad del evento y a base del impacto
3. Provea recomendaciones para evitar el evento y/o atenuar su impacto
C A R M E N R . C I N T R Ó N F E R R E R , 2 0 1 1 - 1 5 , D E R E C H O S R E S E R V A D O S
![Page 32: SEGURIDAD EN SISTEMAS DE INFORMACIÓN CARMEN R. CINTRÓN FERRER - 2011-15, DERECHOS RESERVADOS.](https://reader035.fdocuments.mx/reader035/viewer/2022070416/5665b47d1a28abb57c91e96e/html5/thumbnails/32.jpg)
EJERCICIO 2 RIESGOS TECNOLOGÍAS DE INFORMACIÓN
Riesgo Probabilidad
Recomendación
C A R M E N R . C I N T R Ó N F E R R E R , 2 0 1 1 - 1 5 , D E R E C H O S R E S E R V A D O S
![Page 33: SEGURIDAD EN SISTEMAS DE INFORMACIÓN CARMEN R. CINTRÓN FERRER - 2011-15, DERECHOS RESERVADOS.](https://reader035.fdocuments.mx/reader035/viewer/2022070416/5665b47d1a28abb57c91e96e/html5/thumbnails/33.jpg)
Identificar y valorar activos informáticosIdentificar posibles riesgosIdentificar áreas de vulnerabilidadEstimar riesgos reales Calcular posible impactoIdentificar medidas de protecciónEstimar posible reducción en impactoDeterminar riesgos a cubrir y riesgos asumirRevisar las medidas de protección según
respuesta a incidentes acaecidos
EJERCICIO 2 RIESGOS TECNOLOGÍAS DE INFORMACIÓN
C A R M E N R . C I N T R Ó N F E R R E R , 2 0 1 1 - 1 5 , D E R E C H O S R E S E R V A D O S
![Page 34: SEGURIDAD EN SISTEMAS DE INFORMACIÓN CARMEN R. CINTRÓN FERRER - 2011-15, DERECHOS RESERVADOS.](https://reader035.fdocuments.mx/reader035/viewer/2022070416/5665b47d1a28abb57c91e96e/html5/thumbnails/34.jpg)
C A R M E N R . C I N T R Ó N F E R R E R , 2 0 11 - 1 5 , D E R E C H O S R E S E R VA D O S
Factores Riesgo A Riesgo B Riesgo C Riesgo D
Costo de ataque exitoso $500K $10K $100K $10K
Probabilidad ocurra 80% 20% 5% 70%
Severidad del impacto $400K $2K $5K $7K
Costo medida correctiva $100K $3K $2K $20K
Valor de proteger $300K ($1K) $3K ($13K)
¿Aplico medida?
Prioridad
Tomado de: Panko, Corporate and Computer Security, Fig. 1-9, p.36
EJERCICIO 2 RIESGOS TECNOLOGÍAS DE INFORMACIÓN
![Page 35: SEGURIDAD EN SISTEMAS DE INFORMACIÓN CARMEN R. CINTRÓN FERRER - 2011-15, DERECHOS RESERVADOS.](https://reader035.fdocuments.mx/reader035/viewer/2022070416/5665b47d1a28abb57c91e96e/html5/thumbnails/35.jpg)
MECANISMOS D
E
PROTE
CCIÓN
C A R M E N R . C I N T R Ó N F E R R E R , 2 0 11 - 1 5 , D E R E C H O S R E S E R VA D O S
![Page 36: SEGURIDAD EN SISTEMAS DE INFORMACIÓN CARMEN R. CINTRÓN FERRER - 2011-15, DERECHOS RESERVADOS.](https://reader035.fdocuments.mx/reader035/viewer/2022070416/5665b47d1a28abb57c91e96e/html5/thumbnails/36.jpg)
TECNOLOGÍA DE REDESMECANISMOS DE PROTECCIÓN
Riesgos y amenazasTecnologías de seguridad:
¿Para qué? ¿Cómo? Otras consideraciones
Mecanismos de protección Control y Claves de Acceso “passwords” Copias de resguardo Servicios de batería (“UPS”) Sistemas sin interrupción (“Fault tolerant”)
Herramientas tecnológicas
C A R M E N R . C I N T R Ó N F E R R E R , 2 0 1 1 - 1 5 , D E R E C H O S R E S E R V A D O S
![Page 37: SEGURIDAD EN SISTEMAS DE INFORMACIÓN CARMEN R. CINTRÓN FERRER - 2011-15, DERECHOS RESERVADOS.](https://reader035.fdocuments.mx/reader035/viewer/2022070416/5665b47d1a28abb57c91e96e/html5/thumbnails/37.jpg)
SEGURIDAD DE LOS RECURSOS DE INFORMACIÓN(VALIDACIÓN DE ACCESO)
“Validación intenta asegurar que logran acceso quienes deben tener derecho para las funciones o
los procesos autorizados.”
Autenticar
Autorizar
Acceder
C A R M E N R . C I N T R Ó N F E R R E R , 2 0 1 1 - 1 5 , D E R E C H O S R E S E R V A D O S
![Page 38: SEGURIDAD EN SISTEMAS DE INFORMACIÓN CARMEN R. CINTRÓN FERRER - 2011-15, DERECHOS RESERVADOS.](https://reader035.fdocuments.mx/reader035/viewer/2022070416/5665b47d1a28abb57c91e96e/html5/thumbnails/38.jpg)
SEGURIDAD DE LOS RECURSOS DE INFORMACIÓN(AUTENTICAR)
“Autenticar implica asegurar que identificamos correctamente a quién solicita acceso, o sea
verificar que realmente es quien asevera ser.”
KerberosTokensBiometricsCertificates *
C A R M E N R . C I N T R Ó N F E R R E R , 2 0 1 1 - 1 5 , D E R E C H O S R E S E R V A D O S
![Page 39: SEGURIDAD EN SISTEMAS DE INFORMACIÓN CARMEN R. CINTRÓN FERRER - 2011-15, DERECHOS RESERVADOS.](https://reader035.fdocuments.mx/reader035/viewer/2022070416/5665b47d1a28abb57c91e96e/html5/thumbnails/39.jpg)
SEGURIDAD DE LOS RECURSOS DE INFORMACIÓN(AUTORIZAR)
“Autorizar regula para qué se nos permite el acceso. Depende de la(s) función(es) o rol(es) y del nivel
de confianza en la conexión.”
Centralización (“Web single sign-on”)Role based access controlProxies *
C A R M E N R . C I N T R Ó N F E R R E R , 2 0 1 1 - 1 5 , D E R E C H O S R E S E R V A D O S
![Page 40: SEGURIDAD EN SISTEMAS DE INFORMACIÓN CARMEN R. CINTRÓN FERRER - 2011-15, DERECHOS RESERVADOS.](https://reader035.fdocuments.mx/reader035/viewer/2022070416/5665b47d1a28abb57c91e96e/html5/thumbnails/40.jpg)
SEGURIDAD DE LOS RECURSOS DE INFORMACIÓN(ACCEDER)
“Acceder es permitir llegar hasta los recursos de información protegidos en la confianza que el
autorizado hará un buen uso.”
Balance delicado de riesgosBitácora de transaccionesFiscalización de uso autorizado
C A R M E N R . C I N T R Ó N F E R R E R , 2 0 1 1 - 1 5 , D E R E C H O S R E S E R V A D O S
![Page 41: SEGURIDAD EN SISTEMAS DE INFORMACIÓN CARMEN R. CINTRÓN FERRER - 2011-15, DERECHOS RESERVADOS.](https://reader035.fdocuments.mx/reader035/viewer/2022070416/5665b47d1a28abb57c91e96e/html5/thumbnails/41.jpg)
TECNOLOGÍAS DE SEGURIDAD ¿PARA QUÉ LAS TECNOLOGÍAS DE SEGURIDAD?
Proteger los recursos importantes/sensitivos Imponer controles de acceso, según las políticas
Administrar los roles, según grupos de usuarios
Fiscalizar el acceso y el uso de los recursosPrevenir ataques, interrupciones e intrusosReducir o mitigar el impacto de éstos
C A R M E N R . C I N T R Ó N F E R R E R , 2 0 1 1 - 1 5 , D E R E C H O S R E S E R V A D O S
![Page 42: SEGURIDAD EN SISTEMAS DE INFORMACIÓN CARMEN R. CINTRÓN FERRER - 2011-15, DERECHOS RESERVADOS.](https://reader035.fdocuments.mx/reader035/viewer/2022070416/5665b47d1a28abb57c91e96e/html5/thumbnails/42.jpg)
TECNOLOGÍAS DE SEGURIDAD¿CÓMO INTEGRAR LAS TECNOLOGÍAS DE SEGURIDAD?
Fijar políticas relativas al control de accesoEnumerar recursos críticosPara cada recurso crítico:
Determinar el nivel de sensibilidad Decidir quién debe tener acceso Definir para qué (Roles) debe tener acceso Determinar cómo va a implantarse el control
Planificar cómo integrar esas determinaciones en: Firewall y otras tecnologías de seguridad Auditorías y pruebas internas periódicas
C A R M E N R . C I N T R Ó N F E R R E R , 2 0 1 1 - 1 5 , D E R E C H O S R E S E R V A D O S
![Page 43: SEGURIDAD EN SISTEMAS DE INFORMACIÓN CARMEN R. CINTRÓN FERRER - 2011-15, DERECHOS RESERVADOS.](https://reader035.fdocuments.mx/reader035/viewer/2022070416/5665b47d1a28abb57c91e96e/html5/thumbnails/43.jpg)
TECNOLOGÍAS DE SEGURIDADOTRAS CONSIDERACIONES PARA INTEGRARLAS
Nivel y medio de autenticación: Claves y #’s PIN Tarjetas, Tokens Biométricas
Políticas y controles sobre medios de autenticaciónProcesos de control sobre usuarios privilegiados Control relativo a archivos y algoritmos de cifrado
(“encryption”)Estándares e integración de:
Redes inalámbricas Tecnologías móviles colaboradores (Extranet/EDI/VPN)
C A R M E N R . C I N T R Ó N F E R R E R , 2 0 1 1 - 1 5 , D E R E C H O S R E S E R V A D O S
![Page 44: SEGURIDAD EN SISTEMAS DE INFORMACIÓN CARMEN R. CINTRÓN FERRER - 2011-15, DERECHOS RESERVADOS.](https://reader035.fdocuments.mx/reader035/viewer/2022070416/5665b47d1a28abb57c91e96e/html5/thumbnails/44.jpg)
MECANISMOS DE PROTECCIÓNCONTROL Y CLAVES DE ACCESO (“PASSWORDS”)
Funciones: Protegen la red al exigir identificación
(autenticación) Protegen de acceso indebido a recursos en de
la red Mantener protegidos por el usuario Almacenar en sitio seguro con acceso limitado Renovar frecuentemente (45-90 días) Combinar 8 caracteres numéricos y
alfanuméricos
Variantes: Individuales Grupales Por dispositivo o recurso
C A R M E N R . C I N T R Ó N F E R R E R , 2 0 1 1 - 1 5 , D E R E C H O S R E S E R V A D O S
![Page 45: SEGURIDAD EN SISTEMAS DE INFORMACIÓN CARMEN R. CINTRÓN FERRER - 2011-15, DERECHOS RESERVADOS.](https://reader035.fdocuments.mx/reader035/viewer/2022070416/5665b47d1a28abb57c91e96e/html5/thumbnails/45.jpg)
MECANISMOS DE PROTECCIÓN CONTROL Y CLAVES DE ACCESO (“PASSWORDS”)
Funciones: Controlan acceso a archivos, directorios o dispositivos Identifican tipo de autorizaciones para navegar Identifican tipo de protocolos a utilizar
Tipos de privilegios: “Read” “Execute” “Write” “Delete” “Search” “No Access”
C A R M E N R . C I N T R Ó N F E R R E R , 2 0 1 1 - 1 5 , D E R E C H O S R E S E R V A D O S
![Page 46: SEGURIDAD EN SISTEMAS DE INFORMACIÓN CARMEN R. CINTRÓN FERRER - 2011-15, DERECHOS RESERVADOS.](https://reader035.fdocuments.mx/reader035/viewer/2022070416/5665b47d1a28abb57c91e96e/html5/thumbnails/46.jpg)
MECANISMOS DE PROTECCIÓN COPIAS DE RESGUARDO (“BACKUPS”)
Tipos de copias de resguardo: “Full backup” – copia todos los archivos en la red “Selective backup” – copia archivos seleccionados “Incremental backup” – copia archivos modificados
Estrategias de copiar: Funciones críticas Riesgos de pérdida Frecuencia/volumen de cambio en datos
Itinerario de copias de resguardo: Automático/Manual Horario
C A R M E N R . C I N T R Ó N F E R R E R , 2 0 1 1 - 1 5 , D E R E C H O S R E S E R V A D O S
![Page 47: SEGURIDAD EN SISTEMAS DE INFORMACIÓN CARMEN R. CINTRÓN FERRER - 2011-15, DERECHOS RESERVADOS.](https://reader035.fdocuments.mx/reader035/viewer/2022070416/5665b47d1a28abb57c91e96e/html5/thumbnails/47.jpg)
MECANISMOS DE PROTECCIÓN SERVICIOS DE BATERÍA (“UPS”)
Funciones: Provee energía temporera al ocurrir interrupción Evita daños a servidores, conectores y dispositivos en la red El tiempo de operación lo determina la carga y demanda Puede complementarse con planta generadora alterna Protege contra fluctuaciones (“surge/spike”)
Tipos de UPS: “standby” – al notar interrupción provee energía (“delay”) “line-interactive” – acondiciona corriente y se activa con interrupción “online” – continuamente activo y acondiciona corriente (“no delay”)
Programación de administración: Permite fiscalizar operación del UPS Provee respaldo para desactivar automáticamente aplicaciones y
dispositivos
C A R M E N R . C I N T R Ó N F E R R E R , 2 0 1 1 - 1 5 , D E R E C H O S R E S E R V A D O S
![Page 48: SEGURIDAD EN SISTEMAS DE INFORMACIÓN CARMEN R. CINTRÓN FERRER - 2011-15, DERECHOS RESERVADOS.](https://reader035.fdocuments.mx/reader035/viewer/2022070416/5665b47d1a28abb57c91e96e/html5/thumbnails/48.jpg)
EJERCICIO AAA
Integren el grupo y distribuyan roles
Seleccionen la organización a evaluar
Utilicen las listas de cotejo I-IV
Añadan preguntas necesarias para cubrir los tres criterios (AAA), conforme el rol asignado
Resuman sus hallazgos
C A R M E N R . C I N T R Ó N F E R R E R , 2 0 1 1 - 1 5 , D E R E C H O S R E S E R V A D O S
![Page 49: SEGURIDAD EN SISTEMAS DE INFORMACIÓN CARMEN R. CINTRÓN FERRER - 2011-15, DERECHOS RESERVADOS.](https://reader035.fdocuments.mx/reader035/viewer/2022070416/5665b47d1a28abb57c91e96e/html5/thumbnails/49.jpg)
SEGURIDAD DE LOS RECURSOS DE INFORMACIÓN(HERRAMIENTAS DE CONTROL)
“Administrar el uso adecuado.”
Políticas de acceso y seguridad
Tecnología para implantar controles
Tecnología para operaciones
Servicios de seguridad
C A R M E N R . C I N T R Ó N F E R R E R , 2 0 1 1 - 1 5 , D E R E C H O S R E S E R V A D O S
![Page 50: SEGURIDAD EN SISTEMAS DE INFORMACIÓN CARMEN R. CINTRÓN FERRER - 2011-15, DERECHOS RESERVADOS.](https://reader035.fdocuments.mx/reader035/viewer/2022070416/5665b47d1a28abb57c91e96e/html5/thumbnails/50.jpg)
POLÍTICAS DE SEGURIDADClasificación de la información: Pública Privada (organización) Particular (privada de clientes o terceros) Confidencial
Políticas para segmentar grupos
Políticas para autenticar usuarios
Procedimientos para manejo de: Configuración y control Medidas aseguren cumplimiento Amenazas o incidentes de riesgo
C A R M E N R . C I N T R Ó N F E R R E R , 2 0 1 1 - 1 5 , D E R E C H O S R E S E R V A D O S
![Page 51: SEGURIDAD EN SISTEMAS DE INFORMACIÓN CARMEN R. CINTRÓN FERRER - 2011-15, DERECHOS RESERVADOS.](https://reader035.fdocuments.mx/reader035/viewer/2022070416/5665b47d1a28abb57c91e96e/html5/thumbnails/51.jpg)
POLÍTICAS DE SEGURIDAD
Importancia de las políticas de seguridad
Necesidad de agrupar tipos de usuarios
Contenido de las políticas de seguridad
Formato de las políticas de seguridad
Implantación y cumplimiento
Responsabilidad
C A R M E N R . C I N T R Ó N F E R R E R , 2 0 1 1 - 1 5 , D E R E C H O S R E S E R V A D O S
![Page 52: SEGURIDAD EN SISTEMAS DE INFORMACIÓN CARMEN R. CINTRÓN FERRER - 2011-15, DERECHOS RESERVADOS.](https://reader035.fdocuments.mx/reader035/viewer/2022070416/5665b47d1a28abb57c91e96e/html5/thumbnails/52.jpg)
SANS – Securing the Human (www.securingthehuman.org)
• End User Awareness Training: • Modules 1( You are the target) @ Module 21 (Senior Leadership)• Module 31 (Ethics)• Module 39 (EU Data Protection)• Module 41 (Privacy)
• Developer Awareness Training:• Modules 00 (Introduction) @ Module 09 (Using Known Vulnerable Components)
• Phishing Simulator:
• The Human Phishing Solution
• What is Phishing?
GetSafeOnline (https://www.getsafeonline.org/video) Phishing, Vishing Protect your PC, Protect your ID Safe Social Networkking
*
C A R M E N R . C I N T R Ó N F E R R E R , 2 0 1 1 - 1 5 , D E R E C H O S R E S E R V A D O S
SEGURIDAD DE LOS RECURSOS DE INFORMACIÓNDIVERSOS ENFOQUES (VÍDEOS)
![Page 53: SEGURIDAD EN SISTEMAS DE INFORMACIÓN CARMEN R. CINTRÓN FERRER - 2011-15, DERECHOS RESERVADOS.](https://reader035.fdocuments.mx/reader035/viewer/2022070416/5665b47d1a28abb57c91e96e/html5/thumbnails/53.jpg)
Conciencia de riesgos y amenazas – A Day in the Life of IT Security
CyberSecurity 101 – NOVA-PBS
CyberSecurity History, Threats and Solutions
Protección de la información
Backups y otros consejos
Correo electrónico y Spam
Cyberbullying & Hate Crimes
Conexiones inalámbricas
Adiestrar empleados y Mantener Área de trabajo *
C A R M E N R . C I N T R Ó N F E R R E R , 2 0 1 1 - 1 5 , D E R E C H O S R E S E R V A D O S
SEGURIDAD DE LOS RECURSOS DE INFORMACIÓNOTROS VÍDEOS
![Page 54: SEGURIDAD EN SISTEMAS DE INFORMACIÓN CARMEN R. CINTRÓN FERRER - 2011-15, DERECHOS RESERVADOS.](https://reader035.fdocuments.mx/reader035/viewer/2022070416/5665b47d1a28abb57c91e96e/html5/thumbnails/54.jpg)
SANS Organization (www.sans.org) OnGuard (http://www.onguardonline.gov/) StaySafeOnline (https://www.staysafeonline.org/)
Business Safe Online – Re:Cyber Implement a Cyber Security Plan
ISC2 Foundation (https://www.isc2cares.org/) IndustryResearch- Global Security Information Studies
Mindful Security (http://mindfulsecurity.com/) Security Innovation (https://
www.securityinnovation.com/index.php)
*
C A R M E N R . C I N T R Ó N F E R R E R , 2 0 1 1 - 1 5 , D E R E C H O S R E S E R V A D O S
SEGURIDAD DE LOS RECURSOS DE INFORMACIÓNDIVERSOS ENFOQUES (SITES)
![Page 55: SEGURIDAD EN SISTEMAS DE INFORMACIÓN CARMEN R. CINTRÓN FERRER - 2011-15, DERECHOS RESERVADOS.](https://reader035.fdocuments.mx/reader035/viewer/2022070416/5665b47d1a28abb57c91e96e/html5/thumbnails/55.jpg)
SEGURIDAD DE LOS RECURSOS DE INFORMACIÓN(TECNOLOGÍA PARA IMPLANTAR CONTROLES)
“Control complementa los actos bien intencionados del personal técnico que
considera los recursos informáticos seguros .”
Firewalls
Virtual private networks
Secure sockets layer (SSL/TLS)
Public key infrastructure (PKI) *
C A R M E N R . C I N T R Ó N F E R R E R , 2 0 1 1 - 1 5 , D E R E C H O S R E S E R V A D O S
![Page 56: SEGURIDAD EN SISTEMAS DE INFORMACIÓN CARMEN R. CINTRÓN FERRER - 2011-15, DERECHOS RESERVADOS.](https://reader035.fdocuments.mx/reader035/viewer/2022070416/5665b47d1a28abb57c91e96e/html5/thumbnails/56.jpg)
SEGURIDAD DE LOS RECURSOS DE INFORMACIÓN(TECNOLOGÍA PARA OPERACIONES)
“Fiscalización complementa las herramientas de control en la protección de los recursos
informáticos.”
Administración de usuarios
Detección de intrusos
Control de propagación de virus
Escudriñar vulnerabilidades *
C A R M E N R . C I N T R Ó N F E R R E R , 2 0 1 1 - 1 5 , D E R E C H O S R E S E R V A D O S
![Page 57: SEGURIDAD EN SISTEMAS DE INFORMACIÓN CARMEN R. CINTRÓN FERRER - 2011-15, DERECHOS RESERVADOS.](https://reader035.fdocuments.mx/reader035/viewer/2022070416/5665b47d1a28abb57c91e96e/html5/thumbnails/57.jpg)
SEGURIDAD DE LOS RECURSOS DE INFORMACIÓN(SERVICIOS DE SEGURIDAD)
“Control complementa los actos bien intencionados del personal técnico que considera los recursos
informáticos seguros .”
Administración de riesgos
Arquitectura de seguridad
Configuración e implantación
Administrar servicios y tecnología (24x7x365)
Acción(es) de respuesta *
C A R M E N R . C I N T R Ó N F E R R E R , 2 0 1 1 - 1 5 , D E R E C H O S R E S E R V A D O S
![Page 58: SEGURIDAD EN SISTEMAS DE INFORMACIÓN CARMEN R. CINTRÓN FERRER - 2011-15, DERECHOS RESERVADOS.](https://reader035.fdocuments.mx/reader035/viewer/2022070416/5665b47d1a28abb57c91e96e/html5/thumbnails/58.jpg)
SEGURIDAD DE LOS RECURSOS DE INFORMACIÓN(REQUERIMIENTOS DE SEGURIDAD MILITAR)
Seguridad por niveles: Clasificación de los documentos y datos:
“Unclassified” “Secret” “Top Secret” “For your eyes only” “Burn before reading”
Segregación de redes: “Non-secure” “Highly secure” “Non connected Black (secret) computer – air gap”
Seguridad Nacional: Alta inversión de recursos frente a riesgos poco probables
C A R M E N R . C I N T R Ó N F E R R E R , 2 0 1 1 - 1 5 , D E R E C H O S R E S E R V A D O S
![Page 59: SEGURIDAD EN SISTEMAS DE INFORMACIÓN CARMEN R. CINTRÓN FERRER - 2011-15, DERECHOS RESERVADOS.](https://reader035.fdocuments.mx/reader035/viewer/2022070416/5665b47d1a28abb57c91e96e/html5/thumbnails/59.jpg)
¿ESTO
Y PR
EPARAD@
?
C A R M E N R . C I N T R Ó N F E R R E R , 2 0 11 - 1 5 , D E R E C H O S R E S E R VA D O S
![Page 60: SEGURIDAD EN SISTEMAS DE INFORMACIÓN CARMEN R. CINTRÓN FERRER - 2011-15, DERECHOS RESERVADOS.](https://reader035.fdocuments.mx/reader035/viewer/2022070416/5665b47d1a28abb57c91e96e/html5/thumbnails/60.jpg)
EJERCICIO 3 – NIVEL DE CONCIENCIACIÓN
IDTheft
Laptop
P2P
Social networking
Spam
Spyware
Wireless
7 Practices
C A R M E N R . C I N T R Ó N F E R R E R , 2 0 1 1 - 1 5 , D E R E C H O S R E S E R V A D O S
![Page 61: SEGURIDAD EN SISTEMAS DE INFORMACIÓN CARMEN R. CINTRÓN FERRER - 2011-15, DERECHOS RESERVADOS.](https://reader035.fdocuments.mx/reader035/viewer/2022070416/5665b47d1a28abb57c91e96e/html5/thumbnails/61.jpg)
TECNOLOGÍAS MÓVILES
C A R M E N R . C I N T R Ó N F E R R E R , 2 0 11 - 1 5 , D E R E C H O S R E S E R VA D O S
![Page 62: SEGURIDAD EN SISTEMAS DE INFORMACIÓN CARMEN R. CINTRÓN FERRER - 2011-15, DERECHOS RESERVADOS.](https://reader035.fdocuments.mx/reader035/viewer/2022070416/5665b47d1a28abb57c91e96e/html5/thumbnails/62.jpg)
Radio Frequency TrasnmitterRadio Frequency Trasnmitter
Laptop
LaptopLaptop
PDA
PDA
PDA
PDA
Satellite dish
C A R M E N R . C I N T R Ó N F E R R E R , 2 0 11 - 1 5 , D E R E C H O S R E S E R VA D O S
TECNOLOGÍA DE REDESREDES INALÁMBRICAS
![Page 63: SEGURIDAD EN SISTEMAS DE INFORMACIÓN CARMEN R. CINTRÓN FERRER - 2011-15, DERECHOS RESERVADOS.](https://reader035.fdocuments.mx/reader035/viewer/2022070416/5665b47d1a28abb57c91e96e/html5/thumbnails/63.jpg)
TECNOLOGÍA DE REDESREDES INALÁMBRICAS
Teléfonos celulares
PDA’s & IPAD’s
Notebooks & Laptops
Unidades portátiles (USB)
Estaciones o periferales (WNIC’s)
Puntos de contacto o conexión (WPA)
Puntos de distribución
Protocolos de comunicación (WAP)
Medios transmisión (GSM/EVDO/3G)
C A R M E N R . C I N T R Ó N F E R R E R , 2 0 1 1 - 1 5 , D E R E C H O S R E S E R V A D O S
![Page 64: SEGURIDAD EN SISTEMAS DE INFORMACIÓN CARMEN R. CINTRÓN FERRER - 2011-15, DERECHOS RESERVADOS.](https://reader035.fdocuments.mx/reader035/viewer/2022070416/5665b47d1a28abb57c91e96e/html5/thumbnails/64.jpg)
REDES INALÁMBRICAS(VENTAJAS)
Bajo costo
Fácil instalación de WLAN’s
Fácil ampliación Red alámbrica
Integración de equipo móvil (PDA’s/Celulares)
Amplio acceso y acceso en movimiento
C A R M E N R . C I N T R Ó N F E R R E R , 2 0 1 1 - 1 5 , D E R E C H O S R E S E R V A D O S
![Page 65: SEGURIDAD EN SISTEMAS DE INFORMACIÓN CARMEN R. CINTRÓN FERRER - 2011-15, DERECHOS RESERVADOS.](https://reader035.fdocuments.mx/reader035/viewer/2022070416/5665b47d1a28abb57c91e96e/html5/thumbnails/65.jpg)
REDES INALÁMBRICAS(DESVENTAJAS)
Riesgos de seguridad
Alto costo de administración
Dificultad para regular usuarios/servicios
Capacidad limitada de ancho de banda
Punto de vulnerabilidad - Red alámbrica
Punto de congestión – Red alámbrica
C A R M E N R . C I N T R Ó N F E R R E R , 2 0 1 1 - 1 5 , D E R E C H O S R E S E R V A D O S
![Page 66: SEGURIDAD EN SISTEMAS DE INFORMACIÓN CARMEN R. CINTRÓN FERRER - 2011-15, DERECHOS RESERVADOS.](https://reader035.fdocuments.mx/reader035/viewer/2022070416/5665b47d1a28abb57c91e96e/html5/thumbnails/66.jpg)
¿CÓMO CONTRARRESTAR LOS RIESGOS?
C A R M E N R . C I N T R Ó N F E R R E R , 2 0 11 - 1 5 , D E R E C H O S R E S E R VA D O S
![Page 67: SEGURIDAD EN SISTEMAS DE INFORMACIÓN CARMEN R. CINTRÓN FERRER - 2011-15, DERECHOS RESERVADOS.](https://reader035.fdocuments.mx/reader035/viewer/2022070416/5665b47d1a28abb57c91e96e/html5/thumbnails/67.jpg)
SEGURIDAD DE SISTEMAS PLANIFICACIÓN DEL PROCESO
C A R M E N R . C I N T R Ó N F E R R E R , 2 0 11 - 1 5 , D E R E C H O S R E S E R VA D O S
Proceso de seguridad
Avalúo
Adoptar políticasAdiestrar
Auditar programa
Implantar el programa
![Page 68: SEGURIDAD EN SISTEMAS DE INFORMACIÓN CARMEN R. CINTRÓN FERRER - 2011-15, DERECHOS RESERVADOS.](https://reader035.fdocuments.mx/reader035/viewer/2022070416/5665b47d1a28abb57c91e96e/html5/thumbnails/68.jpg)
Implantar el ciclo de Seguridad (PPR):
Planificar - (“Planning”)
Proteger - (“Protecting”)
Responder - (“Responding”)
SEGURIDAD DE SISTEMAS RESPUESTA
C A R M E N R . C I N T R Ó N F E R R E R , 2 0 1 1 - 1 5 , D E R E C H O S R E S E R V A D O S
![Page 69: SEGURIDAD EN SISTEMAS DE INFORMACIÓN CARMEN R. CINTRÓN FERRER - 2011-15, DERECHOS RESERVADOS.](https://reader035.fdocuments.mx/reader035/viewer/2022070416/5665b47d1a28abb57c91e96e/html5/thumbnails/69.jpg)
SISTEMAS DE SEGURIDAD IMPLANTAR EL CICLO DE SEGURIDAD (PPR)
Planificar: Plan Integral
(sin brechas) Análisis de riesgos:
Enumerar Determinar severidad Determinar impacto $ Priorizar
Adopción de políticas: Tecnologías Procedimientos
Proteger: Implantar mecanismos:
Firewalls Detección de intrusos Fortalecer servidores y otros
Actualizar: Versiones y parchos Ajustar ante nuevos riesgos
Validar: Pruebas y auditorías
C A R M E N R . C I N T R Ó N F E R R E R , 2 0 11 - 1 5 , D E R E C H O S R E S E R VA D O S
![Page 70: SEGURIDAD EN SISTEMAS DE INFORMACIÓN CARMEN R. CINTRÓN FERRER - 2011-15, DERECHOS RESERVADOS.](https://reader035.fdocuments.mx/reader035/viewer/2022070416/5665b47d1a28abb57c91e96e/html5/thumbnails/70.jpg)
SEGURIDAD DE SISTEMAS IMPLANTAR EL CICLO DE SEGURIDAD (PPR)Responder: Planificar proceso (CERT) Detección y atención de incidentes:
Proceso a seguir (IDS) Determinación ataque/incidente Descripción/documentación
Contención y recuperación: Detener ataque/incidente Recuperar del impacto/daño(s)
Medidas correctivas y preventivas: Forenses (“Computer forensics”) Procesamiento criminal Medidas disciplinarias a empleados Corregir la vulnerabilidad o áreas de exposición
C A R M E N R . C I N T R Ó N F E R R E R , 2 0 1 1 - 1 5 , D E R E C H O S R E S E R V A D O S
![Page 71: SEGURIDAD EN SISTEMAS DE INFORMACIÓN CARMEN R. CINTRÓN FERRER - 2011-15, DERECHOS RESERVADOS.](https://reader035.fdocuments.mx/reader035/viewer/2022070416/5665b47d1a28abb57c91e96e/html5/thumbnails/71.jpg)
SEGURIDAD DE SISTEMAS - INTEGRACIÓN
Políticas de seguridad (1) Uso de correo electrónico Protección contra virus Control del spam
Procedimientos (2): Configuración servidor Control acceso a cambios Configuración cuentas
Tecnología (3): Servidor seguro Reglas en Firewall Reglas en Proxy Programación
antivirus/antispam
Pruebas de seguridad (4)
C A R M E N R . C I N T R Ó N F E R R E R , 2 0 11 - 1 5 , D E R E C H O S R E S E R VA D O S
Políticas correo electrónico
Pruebas
Procedimientos
3
Tecnologías
Sistemaseguro
Intento de violentar política de e-correo
![Page 72: SEGURIDAD EN SISTEMAS DE INFORMACIÓN CARMEN R. CINTRÓN FERRER - 2011-15, DERECHOS RESERVADOS.](https://reader035.fdocuments.mx/reader035/viewer/2022070416/5665b47d1a28abb57c91e96e/html5/thumbnails/72.jpg)
Click icon to add picture
¡GRACIA
S POR S
U ATE
NCIÓN!
C A R M E N R . C I N T R Ó N F E R R E R , 2 0 11 - 1 5 , D E R E C H O S R E S E R VA D O S
![Page 73: SEGURIDAD EN SISTEMAS DE INFORMACIÓN CARMEN R. CINTRÓN FERRER - 2011-15, DERECHOS RESERVADOS.](https://reader035.fdocuments.mx/reader035/viewer/2022070416/5665b47d1a28abb57c91e96e/html5/thumbnails/73.jpg)
REFERENCIASPanko, Corporate Computer and Network Security, Prentice
Hall, 2004Tanenbaum, Computer NetworksMaiwald, Network Security, Osborne, 2001Proctor & Byrnes, The secure enterpriseSchenk, Wireless LAN DeploymentGast, Seven security problems of 802.11 WirelessBolles, Wireless (In)security: Are your networks snoop-proof?
(CIO Insight July 2002)Trilling, How to tighten loose security in wireless networks?
(Computerworld Feb.12,2003)daCruz, Safe networking computing (Columbia U., Sep 2001)McHugh,Christie & Allen, The role of intrusion detection
systems (IEEE Software, Sep/Oct 2000)Allen, et als., Improving the security of Networked systems
(STSC Crosstalk Oct, 2000)www.80211-planet.com: Wireless Privacy: An Oxymoron (April
26, 2001)
C A R M E N R . C I N T R Ó N F E R R E R , 2 0 1 1 - 1 5 , D E R E C H O S R E S E R V A D O S
![Page 74: SEGURIDAD EN SISTEMAS DE INFORMACIÓN CARMEN R. CINTRÓN FERRER - 2011-15, DERECHOS RESERVADOS.](https://reader035.fdocuments.mx/reader035/viewer/2022070416/5665b47d1a28abb57c91e96e/html5/thumbnails/74.jpg)
REFERENCIAS
SANS Institute - variousEDUCAUSE Evolving Technologies Committee:
Overview of Security (Oct 2002)EDUCAUSE Mid-Atlantic Regional Conference:
Measuring the success of wirelessCERT: Internet Security Issues (May 2000)CERT: Security of the Internet (1997)CERT: Home computing security (2002)CERT: Organized crime and cyber-crime
(2002)
C A R M E N R . C I N T R Ó N F E R R E R , 2 0 1 1 - 1 5 , D E R E C H O S R E S E R V A D O S
![Page 75: SEGURIDAD EN SISTEMAS DE INFORMACIÓN CARMEN R. CINTRÓN FERRER - 2011-15, DERECHOS RESERVADOS.](https://reader035.fdocuments.mx/reader035/viewer/2022070416/5665b47d1a28abb57c91e96e/html5/thumbnails/75.jpg)
GLOSARIO DE TÉRMINOSTECNOLOGÍA INALÁMBRICAAccess point (AP/WAP)Bluetooth (Personal wireless LAN)Dynamic frecuency selection/dynamic channel
selection (DFS/DCS)Extensible authentication protocol (EAP)Global system for mobile communications
(GSM)Wireless Access Protocol (WAP)Wireless LAN (WLAN – 802.11x)Wireless Transport layer security (WTLS)Wired equivalent privacy (WEP)Wireless Ethernet compatibility alliance
(WECA)
C A R M E N R . C I N T R Ó N F E R R E R , 2 0 1 1 - 1 5 , D E R E C H O S R E S E R V A D O S
![Page 76: SEGURIDAD EN SISTEMAS DE INFORMACIÓN CARMEN R. CINTRÓN FERRER - 2011-15, DERECHOS RESERVADOS.](https://reader035.fdocuments.mx/reader035/viewer/2022070416/5665b47d1a28abb57c91e96e/html5/thumbnails/76.jpg)
GLOSARIO DE TÉRMINOSTECNOLOGÍA INALÁMBRICA (2)“Spoofing”“Hijacking session”Basic Service Set (BSS)Open systems authentication (OSA)Service set identifier (SSID)Shared key authentication (SKA)Virtual private network (VPN)High Performance Radio LAN (HIPERLAN)Integrity Check Vector (ICV)Initialization Vector (IV)Medium Access Control (MAC)
C A R M E N R . C I N T R Ó N F E R R E R , 2 0 1 1 - 1 5 , D E R E C H O S R E S E R V A D O S