Escolar Documentos
Profissional Documentos
Cultura Documentos
http://less.es/wp-content/uploads/2014/11/Portada1-Seguridad.jpg
Definiciones: Activo
Un activo es un elemento que se
ha de proteger y puede incluir la
propiedad, las personas y la
información / datos que tienen
valor para la empresa.
Tangibles o intangibles.
http://img.ihned.cz/attachment.php/280/47495280/tC2xumLgJln9KOMBNVI0EWPkzeQRHyGw/92238510.jpg
Definiciones: Seguridad.
Seguridad:
Libre y exento de todo peligro,
daño o riesgo.
El objetivo de la seguridad del
sistema de información es
optimizar el rendimiento de una
organización con respecto a los
riesgos a los que está expuesta.
http://michellgroup.com/wp-content/uploads/2015/01/network-security_MCG.jpg
Definiciones: Riesgo.
Probabilidad de una lesión, daño o
pérdida, el riesgo tiene dos
elementos:
Oportunidad
La pérdida o daño potencial.
https://radia.accelerite.com/images/remote/http_accelerite.com/images/uploads/site/Reduce_Endpoint_Risk_-_Radia_UEM.jpg
Definiciones: Manejo del riesgo.
La gestión del riesgo en este sentido es un
proceso de tres partes:
1. Identificación de los riesgos materiales
2. Selección y aplicación de medidas para Identificación Mitigar Riesgos
http://www.technicaljones.com/Countermeasures_Jan%202011.jpg
Definiciones: Confidencialidad
La confidencialidad se asegura de
que sólo las personas autorizadas
puedan ver datos confidenciales.
Existen métodos para garantizar
la confidencialidad como
controles de encriptación y
controles de acceso.
Definiciones: Integridad
https://www.ubertechsupport.com/blog/wp-content/uploads/2015/06/data-integrity-in-information-security.jpg
Definiciones: Disponibilidad
http://www.virtualizationsoftware.com/wp-content/uploads/2013/09/high-availability-vmware-700x325.jpg
Definiciones: Vulnerabilidad.
http://itt.com.au/wp-content/uploads/2012/07/Vulnerability-Assessment-Smaller.jpg
Definiciones: Amenazas.
Intentar obtener acceso no OCG
autorizado a sistemas o activos
de información con el objetivo de
destruir o dañar un activo.
Las Amenazas a menudo se
realizan a través de un ataque
que busca explotar o
aprovecharse de una
vulnerabilidad existente.
Definiciones: Amenazas.
Las amenazas externas provienen
de fuera de la red, no tienen
acceso y están tratando de entrar
constantemente.
Ellas pueden tomar muchas
formas diferentes y realizadas
por personas con diferentes
motivos y habilidades.
http://netsafe.me/wp-content/uploads/2013/12/cyber.jpg
Definiciones: Amenazas.
Amenazas internas:
Es el tipo más peligroso de
amenaza porque tiene más
acceso y más conocimiento
sobre la red y sus dispositivos.
Vector de Amenazas
Métodos de ataque
Reconocimiento
Este es el proceso de
descubrimiento, se utiliza para
encontrar información acerca de la
red. Podría incluir exploraciones de
la red para saber qué direcciones IP
responden, y otras exploraciones
para ver qué puertos están abiertos.
Este suele ser el primer paso dado,
para descubrir lo que está en la red
y determinar las posibles
vulnerabilidades. http://cdn.osxdaily.com/wp-content/uploads/2014/05/scan-ports-mac.jpg
Métodos de ataque
Ingeniería social
Es uno de los ataques más de
prevenir, ya que aprovecha
nuestra vulnerabilidad más débil
en una red segura: el usuario.
Existen múltiples métodos de
ingeniería social: se puede hacer
en persona, por teléfono, en la
mayoría de los casos con ataques
persuasivos. http://www.makeuseof.com/tag/social-engineering-makeuseof-explains/
Métodos de ataque
Escalamiento de privilegios
Este es el proceso de tomar un
cierto nivel de acceso (ya sea
autorizado o no) y lograr un
mayor nivel de acceso.
https://upload.wikimedia.org/wikipedia/commons/thumb/2/2f/Priv_rings.svg/300px-Priv_rings.svg.png
Métodos de ataque
Backdoors
Cuando los atacantes tengan
acceso a un sistema, por lo
general quieren acceder en el
futuro.
Una aplicación de puerta trasera
se puede instalar de muchas
maneras para permitir el acceso
futuro o para recoger
información y uso en futuros
ataques. http://www.ciscozine.com/wp-content/uploads/%E2%80%8BSYNful-Knock-backdoor-in-Cisco-devices.jpg
Métodos de ataque
Hombre en el medio
Un ataque man-in-the-middle
resulta cuando los atacantes se
ponen de acuerdo entre dos
dispositivos que se comunican, con
la intención de realizar el
reconocimiento o la manipulación
de los datos a medida que se mueve
entre ellos.
Esto puede suceder en la Capa 2 o
Capa 3. El objetivo principal es el
espionaje, por lo que el atacante
puede ver todo el tráfico. http://www.veracode.com/sites/default/files/styles/media_responsive_widest/public/mitm-flow_0.gif?itok=SH6tndH8
Categoria de ataque Estrategia de Ataque
Confidencialidad Man-in-the-middle, captura de paquetes, mapeo de puertos
Integridad Codigo malicioso, keylogger,proxy
Disponibilidad DDOS
Clasificación de los datos
Clasificacion de activos
clasificacion gubernamental Sin clasificar
Sensible pero sin clasificar
Confidencial
Secreto
Ultra secreto
Clasificación sector privado Publico
Sensible
Privado
Confidencial
Criterios de clasificación Valor
Edad
Costo de reemplazo
Tiempo de vida útil
Roles de clasificacion Dueño
Custodio
Usuario
Clasificación de los datos
Clasificacion de activos
Clasificacion gubernamental Sin clasificar Los datos que no tienen requisitos de confidencialidad, integridad o disponibilidad.
Insensible a la organización, por lo que no hay necesidad de asegurar.
Sensible pero sin clasificar Los datos que podría proporcionar un poco de vergüenza a la organización si revelada,
pero sin mayores restricciones de seguridad.
Confidencial Los datos de disponen de la protección menos restrictiva en el ámbito clasificada. Estos
datos deben tener una protección de la confidencialidad.
Secreto Los datos que deben ser asegurada por su coste y esfuerzo. Estos datos deben ser más
restrictivas que Confidencial pero menos restrictiva que Top Secret.
Ultra secreto o Top Secret Los datos que se deben asegurar con el mayor esfuerzo y costo, si es necesario. Los datos
en este nivel suele estar disponible sólo para aquellos que se han aprobado en este nivel y
que tienen una necesidad legítima de saber.
Clasificación de los datos
Clasificación sector Público Los datos que son de dominio público, tales como libros blancos,
privado información bursátil, información de marketing. No se requiere protección
Sensible Muy similar a la (SBU) Clasificación Sensible pero sin clasificar en el modelo
militar.
Privado Los datos que son importantes para la organización y está protegida en
consecuencia. Un directorio de empleados podría caer en este nivel de
clasificación. Esta información no pretende ser revelado al mundo exterior.
Confidencial El nivel más alto dentro de una organización del sector privado y se obtuvo
el más alto nivel de los controles de seguridad y los gastos. Un secreto
comercial, una fórmula, o no públicos los datos financieros son ejemplos de
esto.
Roles de clasificación
Dueño: Es el responsable de los datos, usualmente el gerente
de una compañía.
Custodio: es el grupo responsable de implementar las políticas
de seguridad dictadas por el dueño
Usuario: son todos aquellos que acceden los datos y se rigen
por las reglas de uso aceptable de los datos.
Contramedidas-Controles de seguridad
Buscan reducir el riesgo de los activos frente a una
vulnerabilidad.
Administrativas: políticas escritas, procedimientos, guías y
estándares.
Ej: políticas de uso aceptable de activos.
Física: seguridad para los equipos, servidores e infraestructura
Ej: puerta de acceso, perímetro de seguridad.
Lógica: incluye contraseñas, firewalls, sistema de previsión de
intrusos.
Clasificación controles de seguridad
Preventivos: bloquear amenazas antes que puedan aprovechar
una vulnerabilidad
Detección: descubrir y notificar ataques o mal uso.
Disuasivos: busca desalentar ataques tanto externos como
violaciones de políticas internas.
Clasificación controles de seguridad
Correctivos: Restaurar la integridad de los datos u otro activo.
Recuperación: reactivar la disponibilidad de un servicio
Compensativo: proveer protección incluso cuando otro control
falla
Information security the complete reference 2nd ed, pag 71
Análisis de riesgo
Categorizar los activos a proteger
Identificar riesgos que puedan ser evitados
Facilitar y priorizar los elementos de protección
Medir la efectividad de la arquitectura de seguridad:
Midiendo los riesgos y la forma de mitigarlos.
Observando tendencias
Análisis de riesgo
Modelo simple
Riesgo= probabilidad (amenaza + explotación de
vulnerabilidad)*costo del daño-
Modelo cuantitativo
Perdidas Anuales= Perdida Única + costo anual de perdidas.
Por qué seguridad?
Las amenazas en la red incluyen amenazas tanto internas como
externas.
Las amenazas ocurren por que existen vulnerabilidades.
Ganar es difícil, perder es muy fácil.
Asegurar lo que se tiene, no perderlo y seguir obteniendo más
recursos con el fin de adquirir un mejor estatus.
No solucionar las vulnerabilidades trae problemas que no se
pueden medir.
Las empresas se ven protegidas contra la interrupción de los
procesos.
Asegurar que los empleados sean productivos.
Se protegen también a los clientes y sus datos. Evitando así
riesgos legales.
Se busca tener la mayor seguridad, sin que se vea afectado el
desempeño de la red.
Principios de diseño
Toda implementación de seguridad es basada en algún modelo.
El modelo incluye y asume como:
Seguro o no seguro.
Confiable, parcialmente confiable y no confiable.
Modelo CIA
Triada
Tres pilares de la información
http://www.rockdaleclerk.com/images/ASA-Banner.jpg
Integridad
http://3.bp.blogspot.com/-wu9MRX5TsBE/UQkSUWyrYcI/AAAAAAAAAXM/K3ZOY4BJOvY/s320/datcrpt.jpg
Disponibilidad
El concepto de disponibilidad se
aplica únicamente a los sistemas
de información y los datos.
Tiempo en línea (uptime)
La no disponibilidad de una red
generalmente equivale a la
pérdida de ingresos.
http://www.180-it.com/wp-content/uploads/it-services-uptime-2whqca5iqd6i0phytvug3u.gif
Modelo de seis elementos.