Professional Documents
Culture Documents
Ultima actualizacin: 02/03/04 Archivo con 36 diapositivas Material Docente de Libre Distribucin
Jorge Rami Aguirre Universidad Politcnica de Madrid
v 3.2
Este archivo forma parte de un curso sobre Seguridad Informtica y Criptografa. Se autoriza la reproduccin en computador e impresin en papel slo con fines docentes o personales, respetando en todo caso los crditos del autor. Queda prohibida su venta, excepto a travs del Departamento de Publicaciones de la Escuela Universitaria de Informtica, Universidad Politcnica de Madrid, Espaa. Curso de Seguridad Informtica y Criptografa JRA
Seguridad Fsica
Los datos deben protegerse aplicando: Seguridad Lgica
Uso de herramientas de proteccin de la informacin en el mismo medio en el que se genera o transmite. Protocolos de autenticacin entre cliente y servidor. Aplicacin de normativas.
Seguridad Fsica
Procedimientos de proteccin fsica del sistema: acceso personas, incendio, agua, terremotos, etc. Medidas de prevencin de riesgos tanto fsicos como lgicos a travs de una poltica de seguridad, planes de contingencia, aplicacin de normativas, etc.
Seguridad Informtica y Criptografa. Jorge Rami Aguirre Tema 4: Introduccin a la Seguridad Fsica
Diapositiva 121 Madrid (Espaa) 2004
B: Carga o gasto que significa la prevencin de una prdida especfica por vulnerabilidad. P: Probabilidad de ocurrencia de esa prdida especfica. L: Impacto total de dicha prdida especfica.
Seguridad Informtica y Criptografa. Jorge Rami Aguirre Tema 4: Introduccin a la Seguridad Fsica
Diapositiva 125
Cuantificacin de la proteccin
BPL?
Cunta proteccin es necesaria?
En nuestro ejemplo: qu configuracin de red usar, en qu entorno trabajar, qu tipo de cortafuegos, etc. Eso depender del novel de seguridad que nuestra empresa desee o crea oportuno.
Se cierra el ciclo
Identificar amenazas B PL ?
Aspectos administrativos
Polticas administrativas
Se establecen aquellos procedimientos de carcter administrativo en la organizacin como por ejemplo en el desarrollo de programas: modularidad en aplicaciones, revisin sistemtica, etc. Se establecen responsabilidades compartidas por todos los usuarios, cada uno en su nivel.
Seguridad Informtica y Criptografa. Jorge Rami Aguirre Tema 4: Introduccin a la Seguridad Fsica
Diapositiva 134
Control de accesos
Polticas de control de acceso
Poltica de menor privilegio
Acceso estricto a objetos determinados, con mnimos privilegios para los usuarios.
Poltica de comparticin
Acceso de mximo privilegio en el que cada usuario puede acceder a todos los objetos.
Granularidad
Nmero de objetos accesibles. Se habla entonces de granularidad gruesa y fina.
Seguridad Informtica y Criptografa. Jorge Rami Aguirre Tema 4: Introduccin a la Seguridad Fsica
Diapositiva 135 Madrid (Espaa) 2004
Control de flujo
Polticas de control de flujo
La informacin a la que se accede, se enva y recibe por:
Canales claros o canales ocultos? Seguros o no?
Modelos de seguridad
Modelo de Bell LaPadula (BLP) Rgido. Confidencialidad y con autoridad. Modelo de Take-Grant (TG) Derechos especiales: tomar y otorgar. Modelo de Clark-Wilson (CW) Orientacin comercial: integridad. Modelo de Goguen-Meseguer (GM) No interferencia entre usuarios. Modelo de Matriz de Accesos (MA) Estados y transiciones entre estados Tipo Graham-Dennig (GD) Tipo Harrison-Ruzzo-Ullman (HRU)
Seguridad Informtica y Criptografa. Jorge Rami Aguirre Tema 4: Introduccin a la Seguridad Fsica
Madrid (Espaa) 2004
Diapositiva 137
Diapositiva 139
Criterio de evaluacin CC
Common Criteria: incluye los dos anteriores.
La normativa 17799
Cdigo de buenas prcticas para la Gestin de la Seguridad de la Informacin: PNE-ISO/IEC 17799 (Proyecto de Norma Espaola)
Antecedentes Introduccin Objeto y campo de la aplicacin Trminos y definiciones Poltica de seguridad Aspectos organizativos para la seguridad Clasificacin y control de los archivos Seguridad ligada al personal Seguridad fsica y del entorno Gestin de comunicaciones y operaciones Control de accesos Desarrollo y mantenimiento de sistemas Gestin de continuidad del negocio Conformidad
Madrid (Espaa) 2004
En 70 pginas y diez apartados, presenta unas normas, recomendaciones y criterios bsicos para establecer unas polticas de seguridad. stas van desde los conceptos de seguridad fsica hasta los de seguridad lgica. Parte de la norma elaborada por la British Standards Institution BSI, adoptada por International Standards Organization ISO y la International Electronic Commission IEC.
Diapositiva 143
Planes de contingencia
Un Plan de Contingencia consiste en un anlisis pormenorizado de las reas que componen nuestra organizacin que nos servir para establecer una poltica de recuperacin ante un desastre. Es un conjunto de datos estratgicos de la empresa y que se plasma en un documento con el fin de protegerse ante eventualidades.
Adems de aumentar su seguridad, con un plan estratgico la empresa tambin gana en el conocimiento de fortalezas y debilidades. Pero si no lo hace, se expone a sufrir una prdida irreparable mucho ms costosa que la implantacin de este plan.
Seguridad Informtica y Criptografa. Jorge Rami Aguirre Tema 4: Introduccin a la Seguridad Fsica
Diapositiva 144 Madrid (Espaa) 2004
Medidas prevencin
Emplazamientos adecuados Proteccin fachadas, ventanas, puertas
Diapositiva 145
Medidas prevencin
Revisar conductos de agua. Localizar la sala con los equipos ms caros en un sitio libre de estos problemas. Instalar sistemas de drenaje de emergencia. Concienciar empleados.
Diapositiva 147
Medidas prevencin
Detector humo y calor. Materiales ignfugos. Almacn de papel separado de mquinas. Estado del falso suelo. Extintores revisados.
Es la amenaza ms temida por su rpido poder destructor.
Diapositiva 148
Plan de recuperacin
Acciones tendentes a volver a la situacin que exista antes del desastre.
Seguridad Informtica y Criptografa. Jorge Rami Aguirre Tema 4: Introduccin a la Seguridad Fsica
Diapositiva 152 Madrid (Espaa) 2004
Plan de continuidad
Instalaciones alternativas
Oficina de servicios propia. Acuerdo con empresa vendedora de HW y SW. Acuerdo recproco entre dos o ms empresas. Arranque en fro; sala vaca propia. Arranque en caliente: centro equipado. Sistema Up Start: caravana, unidad mvil. Sistema Hot Start: centro gemelo.
Fin del Tema 4
Seguridad Informtica y Criptografa. Jorge Rami Aguirre Tema 4: Introduccin a la Seguridad Fsica
Diapositiva 153
Cuestiones y ejercicios (1 de 2)
1. Qu es y qu significa hacer un anlisis de riesgos? 2. Explique el sentido de las ecuaciones B > PL y B PL. 3. Tras un estudio, obtenemos B > PL, podemos estar totalmente tranquilos al no utilizar medida alguna de prevencin? 4. Explique qu significan los factores L y P en la ecuacin B > PL. 5. Cules son los pasos a seguir en un anlisis de riesgos de acuerdo a los factores de la ecuacin de B > PL? 6. En algunos sistemas de gestin de informacin a veces prima ms el elemento confidencialidad, en cambio en otros ms el de integridad. D algunos ejemplos en que pueda cumplirse al menos en parte este escenario. Qu opina respecto a una transaccin electrnica? 7. Comente el modelo de seguridad de Bell Lapadula. Por qu se le llama el modelo de la tranquilidad?
Seguridad Informtica y Criptografa. Jorge Rami Aguirre Tema 4: Introduccin a la Seguridad Fsica
Diapositiva 154 Madrid (Espaa) 2004
Cuestiones y ejercicios (2 de 2)
8. Ud. es el responsable de seguridad y detecta que un empleado est robando informacin confidencial, cmo reaccionara? 9. Cules pueden ser las prdidas en una empresa si no se cuenta con un adecuado Plan de Contingencia y sucede un desastre? 10. Qu es un Plan de Contingencia y por qu es importante? 11. Nuestra empresa est a medias entre el rubro distribucin y el de las finanzas. Resulta estratgico tener aqu un Plan de Contingencia? 12. Qu soluciones tenemos para que un banco no se vea afectado por un desastre y pueda seguir trabajando con sus clientes con un tiempo de recuperacin bajo o mnimo? Cmo sera su coste? 13. Se pueden prever situaciones extremas como lo acontecido con las torres gemelas? En que tipo de empresas o instituciones no deben descartarse estos extremos? En mi empresa que vende pasteles?
Seguridad Informtica y Criptografa. Jorge Rami Aguirre Tema 4: Introduccin a la Seguridad Fsica
Diapositiva 155