realizată de Cesia Eunice Moya Montoya 6 ani în urmă
168
La Seguridad un Objetivo Global
La protección de sistemas informáticos es un objetivo crucial a nivel global, y para garantizarla, se realizan diferentes tipos de auditorías. Las auditorías de seguridad incluyen pruebas de penetración, auditorías externas e internas.
Pruebas de Penetración: En esta prueba un consultor de
seguridad independiente se dispone a "ciegas" a averiguar
todo sobre nuestro sistema para proceder a utilizar esa información en "contra nuestra" para intentar penetrarnos.
Auditorias Externas: Estas se llevan a cabo por personas
ajenas a la organización.
Auditorias internas: Esta la realiza la propia organización
para evaluar el correcto funcionamiento.
Mecanismos de Seguridad
Medidas de recuperación: Permiten la recuperación del
funcionamiento correcto del sistema una vez se ha producido el ataque.
Medidas de Detección: Se usan para detectar violaciones
de la seguridad de un sistema.
Medidas de Prevención: Aumentan la seguridad del
sistema durante su funcionamiento.
Tipos de Ataques
Perfiles de posibles atacantes
Intrusos remunerados
Antiguos trabajadores
Mecanismos de
Hackers
Personal de la propia organización
Ataque cuyo origen son las personas
Ataques activos: En este tipo de ataque, el atacante altera o destruye algún recurso del sistema. Este podría producir graves problemas ne la red como ser suplantación de identidad, reactuación, degradación fraudulenta del servicio o modificación de mensajes.
Ataques pasivos: También recibe el nombre de eavesdropping
a menudo este ataque se produce sobre la información que circula a través de la red, donde el atacante no modifica ni destruye ningún recurso del sistema, simplemente lo observa con la finalidad de obtener alguna información confidencial.
Ataques contra el hardware,
software y los datos
Fabricación: Ataque contra la integridad en la que un elemento consigue crear o insertar objetos falsificados en el sistema.
Modificación: Ataque a la integridad y confidencialidad en el que, ademas de obtener acceso aun recurso no autorizado también se consigue la eliminación o modificación.
Interceptación: Ataque contra la confidencialidad en el que un elemento no autorizado consigue entrar al sistema.
Interrupción: Ataque contra la disponibilidad en el que se destruye o queda no disponible un recurso del sistema.
Aspectos Básicos de seguridad
Legales: Los aspectos legales son básicos tanto para la implementación como para el mantenimiento. Es imprescindible mantener la seguridad acorde con la legislación vigente.
Tecnológicos: Los aspectos técnicos representan una buena parte de la implementación de la seguridad y en consecuencia, una tecnología ajustada a las necesidades.
Gestión: La gestión y la planificación de toda la seguridad sera un aspecto clave. El objetivo principal del SGSI es salvaguardar la información.
Seguridad Informática
Garantiza 3 Objetivos
Confidencialidad
Integridad de la información
Capacidad de trabajo
Propiedades de un sistema
informático fiable
Disponibilidad: Los recursos del sistema deben permanecer accesibles a los elementos autorizados.
Integridad: Los recursos del sistema solo pueden ser modificados o alterados por los elementos autorizados a hacerlo.
Confidencialidad: Los recursos del sistema solo pueden ser accedidos por los elementos autorizados a hacerlo.
Elementos que desamos proteger
Datos: El conjunto de información lógica que manejan tanto el software como el hardware.
Software: Todos los programas que hacen funcional al hardware, tanto los sistemas operativos como las aplicaciones.
Hardware: Todos los elementos físicos de un sistema
informático, como servidores, estaciones de trabajo,
cableado, cintas de copia, CD-ROM, etc.
Seguridad según los diferentes
puntos de vista:
Para el Depto. Legal: El conjunto de bienes y derechos, tanto personales como de la organización, debe de garantizarse que sera protegido y preservado, tanto del mal uso involuntario como del uso ilícito.
Para el Administrador de Sistemas: El sistema informático debe ser seguro, es decir libre de todo riesgo o daño. Ademas es necesario garantizar que solo los usuarios autorizados puedan ingresar al sistema.
Para el Director del Depto. de Informática: La seguridad es un proceso global y por lo tanto debe cumplir toda la normativa establecida al nivel de la organización y en material legal.
Para la Dirección: La seguridad significa proteger todo el contenido de la organización y por lo tanto, debe exigirse a todos los departamentos.
Para la Organización: Todas aquellas medidas necesarias para garantizar la seguridad de los RR.HH. y el entorno social en el que esta ubicada la organización.