Seguridad de los sistemas

informticos

Guia de estudio
Necesidad

de proteccin de la informacin
Vulnerabilidad de los sistemas informticos
Medidas de seguridad, servicios y
mecanismos
Polticas de seguridad. AR y PC
Seguridad fsica
Seguridad lgica
Esquemas y protocolos de seguridad

Necesidad de proteccin
Lectura

en clase
Aportes de la clase
Conclusin

Vulnerabilidad de los sistemas

informticos. Amenazas y Ataques
Bienes

informticos sensibles

Software,

Hardware y Datos
Bienes no intrnsicamente informticos. Ej
Amenazas,
Errores

segn su origen

accidentales
Empleados infieles, desleales o
descontentos
Desastres naturales o provocados
Agresiones de terceros

Vulnerabilidad de los sistemas

informticos. Amenazas y Ataques
De

la amenaza al hecho: Violaciones de

un Sistema
Intercepcin:

acceso no autorizado a

proceso
Modificacin: Intercepcin + Cambios
Interrupcin: parcial o total
Generacin: Agregar cdigo a los prg.,
registros a una BD, mensajes no
autorizados, etc

Vulnerabilidad de los sistemas

informticos. Amenazas y Ataques
Ataques

a los bienes informticos

Hardware
Software
Datos:

Criptografa. Principio de
temporalidad (proteger el datos mientras
tenga valor)

Medidas de seguridad, servicios y

mecanismos
Lgicas
Fsicas
Administrativas
Legales

Propiedades fundamentales a
considerar (ITSEC)*
Confidencialidad

Usuarios autorizados

Integridad

Informacin o falsa

Accesibilidad

Quien accede y cuando lo hace

Autenticidad

Origen y destino

Imposibilidad

de rechazo

No alegar ante tercero que no recibio o envio

*Information Thecnology Security Evaluation Criteria

Servicios de seguridad
Sistemas

de cifrado: simtricos y asimtricos

Proporcionan
Confidencialidad
Autenticidad

Sistemas

de comprobacin de integridad

Utilizan funciones de resumen y garantizan la

integridad

Mecanismos

de autenticidad

Impiden la duplicidad

Poltica de seguridad. AR y PC
Plan

de Seguridad

Anlisis de riesgos
Valoracin de los daos
Costo de las medidas de seguridad

Analisis de Riesgos

Beneficios:

Aumentar la desconfianza
Identificacin de bienes, vulnerabilidades y controles
Aumento de conocimientos bsicos para la toma de
decisiones
Justificacin de erogaciones/gastos de seguridad

Fases

Identificacin y clasificacin de riesgos

Pronstico y evaluacin de las consecuencias
Estimacin de la probabilidad de ocurrencia
Evaluacin de la exposicin al riesgo

Fase del AR: Identificacin y

clasificacin de riesgos
Identificacin

de los bienes

Hardware
Software
Datos
Personal
Documentacin

Identificacin

y clasificacin de los riesgos

Sobrecarga, destruccin, robo, copiado, perdida,

etc,

Inventario de bienes y riesgos a que

estn sometidos
Cuales

son los efectos de los desastres

naturales?
Cuales son los efectos de los intrusos
externos?
Cuales son los efectos de los empleados
malintencionados?

Fase del AR: Pronostico y evaluacin de

las consecuencias
Que

ocurre si el sistema queda inutilizado

totalmente?
Que ocurre si determinados ficheros se
destruyen parcial o totalmente?
Que ocurre si se produce una copia no
autorizada de datos?

Fase del AR: Estimacin de la probabilidad de

ocurrencia y Evaluacin de la exposicin al riesgo

E = Dao * Probabilidad de ocurrencia

Que riesgos contribuyen en forma significativa la
exposicin total de sistema?
Una vez identificado el riesgo, podemos:

Prevenirlo: minimizar su probabilidad de ocurrencia

Retenerlo: minimizar sus consecuencias (plan de
recupero)
Transferirlo: seguro de perdidas, convenios con otros
usuarios, etc.

PC: Plan de contingencias

Realizar

el AR
Implantar sistemas de proteccin fsica
Implantar sistemas de proteccin lgica
Confeccin de un plan de emergencia
Realizar un plan de recupero
Elaboracin de documentacin
Verificacin e implantacin del plan
Distribucin y mantenimiento del plan

Seguridad Fsica - Amenazas

Desastres Naturales

Accidentes no provocados

Inundaciones
Incendios
Terremotos
.
Cadas de tensin
Calor / Humedad

Acciones malintencionadas

Atentados, sabotajes, hurtos, interferencias

electromagnticas,

Seguridad Lgica - SL
En

el software de usuario
En el Sistema Operativo
En la Base de Datos
En las Redes

SL El rol de la criptografa
Identificar

que componentes
criptogrficos hay
Que tipos de criptosistemas
Justificacin de su existencia
Rol de la criptografa en el sistema

SL Software de Usuario
Acceso

no autorizado a datos

Programas

con puerta de escape

Caballos de troya
Programas ataques salami
Programas con canales ocultos
Programas voraces
Bucles
Virus y gusanos

SL Software de Usuario
Medidas

y tcnicas de seguridad

Medidas:
Profilcticas
Subdivisin de tareas, reutilizacin de cdigo, utilizacin
de herramientas estndares, organizacin de tareas,
entre otras aportadas por la IS

Tcnicas:
Revisiones cruzadas
Modularidad, encapsulado y sombreado (Qu y no Cmo)
Pruebas independientes
Gestin de configuracin Control de Cambios

SL Software de Base
Identificacin

y autenticacin de usuarios
Modelos de seguridad (Sujeto-Objeto)
Discrecional
Matriz

de accesos de objetos, sujetos y tipos de

accesos

Obligatoria

No discrecionales

Establecen

los canales por donde fluyen la

informacin
Modelo BLP (Bell-La Padula)

SL Bases de datos
El

problema de la Inferencia

Bases

El

estadsticas

problema multinivel

Grandes

almacenes de datos con diferentes

niveles de confidencialidad y numerosos
usuarios autorizados, cada uno con niveles
distintos de autorizacin.-

SL Redes de computadoras
La

seguridad en la red

Uso

de cifrado en la red
Cifrado de enlace
Cifrado nodo a nodo
La

seguridad de las comunicaciones

Medios

fsicos de transmisin

Escucha pasiva/activa

Esquemas y protocolos de
seguridad
Autenticidad
Firma

e Integridad

Digital

Mtodos
Con

arbitro
Firma digital ordinaria
Usos