Categorías: Todo - pruebas - integridad - seguridad - ataques

por Cesia Eunice Moya Montoya hace 6 años

168

La Seguridad un Objetivo Global

La protección de sistemas informáticos es un objetivo crucial a nivel global, y para garantizarla, se realizan diferentes tipos de auditorías. Las auditorías de seguridad incluyen pruebas de penetración, auditorías externas e internas.

La Seguridad un Objetivo Global

La Seguridad un Objetivo Global

Auditorias de Seguridad

Tres tipos de Auditorias
Pruebas de Penetración: En esta prueba un consultor de seguridad independiente se dispone a "ciegas" a averiguar todo sobre nuestro sistema para proceder a utilizar esa información en "contra nuestra" para intentar penetrarnos.
Auditorias Externas: Estas se llevan a cabo por personas ajenas a la organización.
Auditorias internas: Esta la realiza la propia organización para evaluar el correcto funcionamiento.

Mecanismos de Seguridad

Medidas de recuperación: Permiten la recuperación del funcionamiento correcto del sistema una vez se ha producido el ataque.
Medidas de Detección: Se usan para detectar violaciones de la seguridad de un sistema.
Medidas de Prevención: Aumentan la seguridad del sistema durante su funcionamiento.

Tipos de Ataques

Perfiles de posibles atacantes
Intrusos remunerados
Antiguos trabajadores
Mecanismos de
Hackers
Personal de la propia organización
Ataque cuyo origen son las personas
Ataques activos: En este tipo de ataque, el atacante altera o destruye algún recurso del sistema. Este podría producir graves problemas ne la red como ser suplantación de identidad, reactuación, degradación fraudulenta del servicio o modificación de mensajes.
Ataques pasivos: También recibe el nombre de eavesdropping a menudo este ataque se produce sobre la información que circula a través de la red, donde el atacante no modifica ni destruye ningún recurso del sistema, simplemente lo observa con la finalidad de obtener alguna información confidencial.
Ataques contra el hardware, software y los datos
Fabricación: Ataque contra la integridad en la que un elemento consigue crear o insertar objetos falsificados en el sistema.
Modificación: Ataque a la integridad y confidencialidad en el que, ademas de obtener acceso aun recurso no autorizado también se consigue la eliminación o modificación.
Interceptación: Ataque contra la confidencialidad en el que un elemento no autorizado consigue entrar al sistema.
Interrupción: Ataque contra la disponibilidad en el que se destruye o queda no disponible un recurso del sistema.

Aspectos Básicos de seguridad

Legales: Los aspectos legales son básicos tanto para la implementación como para el mantenimiento. Es imprescindible mantener la seguridad acorde con la legislación vigente.
Tecnológicos: Los aspectos técnicos representan una buena parte de la implementación de la seguridad y en consecuencia, una tecnología ajustada a las necesidades.
Gestión: La gestión y la planificación de toda la seguridad sera un aspecto clave. El objetivo principal del SGSI es salvaguardar la información.

Seguridad Informática

Garantiza 3 Objetivos
Confidencialidad
Integridad de la información
Capacidad de trabajo
Propiedades de un sistema informático fiable
Disponibilidad: Los recursos del sistema deben permanecer accesibles a los elementos autorizados.
Integridad: Los recursos del sistema solo pueden ser modificados o alterados por los elementos autorizados a hacerlo.
Confidencialidad: Los recursos del sistema solo pueden ser accedidos por los elementos autorizados a hacerlo.
Elementos que desamos proteger
Datos: El conjunto de información lógica que manejan tanto el software como el hardware.
Software: Todos los programas que hacen funcional al hardware, tanto los sistemas operativos como las aplicaciones.
Hardware: Todos los elementos físicos de un sistema informático, como servidores, estaciones de trabajo, cableado, cintas de copia, CD-ROM, etc.

Seguridad según los diferentes puntos de vista:

Para el Depto. Legal: El conjunto de bienes y derechos, tanto personales como de la organización, debe de garantizarse que sera protegido y preservado, tanto del mal uso involuntario como del uso ilícito.
Para el Administrador de Sistemas: El sistema informático debe ser seguro, es decir libre de todo riesgo o daño. Ademas es necesario garantizar que solo los usuarios autorizados puedan ingresar al sistema.
Para el Director del Depto. de Informática: La seguridad es un proceso global y por lo tanto debe cumplir toda la normativa establecida al nivel de la organización y en material legal.
Para la Dirección: La seguridad significa proteger todo el contenido de la organización y por lo tanto, debe exigirse a todos los departamentos.
Para la Organización: Todas aquellas medidas necesarias para garantizar la seguridad de los RR.HH. y el entorno social en el que esta ubicada la organización.