Post on 17-Jul-2015
Miguel Torrealba S.mtorrealba@usb.ve
Seguridad Informática y de las Comunicaciones
Tema 1 : Introducción
Introducción a la Seguridad
Introducción
InseguridadFalta de seguridad (RAE).
SeguridadCualidad de seguro (RAE).
SeguroLibre y exento de todo daño, peligro o riesgo (RAE).
Seguridad digital“En el mundo real, la seguridad envuelve procesos. Esto incluye tecnologías de prevención, además de procesos de detección y reacción, y un completo sistema forense para atrapar y enjuiciar a los culpables. Seguridad no es un producto; por símisma es un proceso”. -Bruce Schneier-
ProcesoConjunto de las fases sucesivas de un fenómeno natural o de una operación artificial (RAE).
Inseguridad y seguridad
Introducción
VulnerabilidadCualidad que hace que un sistema u objeto pueda ser dañado, recibir alguna lesión o se comporte como no se desea que lo haga.
AmenazaElemento que con el cuál se puede hacer algún mal a cierto sistema o parte del mismo.
PeligroRiesgo o contingencia inminente de que suceda algún mal (RAE).
RiesgoLa combinación de la probabilidad de un evento y sus consecuencias.
Seguridad digital y tecnología“Si usted piensa que la tecnología puede resolver sus problemas de seguridad, entonces usted no entiende los problemas y no comprende de tecnología”. -Bruce Schneier-
Peligro y riesgo
Introducción
Una visión sistematizada de la seguridad
Vulnerabilidad
Amenaza
Programa para Explotar la debilidad
Perjuicio
Cracker
Sistema
Busca una
Tiene
Riesgo
Busca una
Ataque
Permite elaborar
ConstituyePermite realizar
Generaría unSobre
Faculta que exista
InseguridadPosibilita que sea
Facu
lta q
ue e
xist
a
BeneficioRecae sobre el
Generaría un
Fabricante
Hace
Hace
Usuario
Administrador
Posibilita que sea
Hace
Introducción
“La seguridad informática práctica es una sucesión de acciones y reacciones, de ataques y de defensas”.
Simson Garfinkel y Eugene Spafford (1999)
La realidad de la seguridad es que …
Introducción
“El único sistema de computación realmente seguro es aquel que está apagado, incrustado en un bloque de concreto y sellado en una habitación forrada de plomo con guardias armados -y aún así tengo mis dudas."
Dr. Eugene Spafford (1989)
La realidad de la seguridad es que …
Introducción
Recomendación X.800 ITU-T: permite definir los requerimientos de seguridad que requerirá un sistema
Un servicio de seguridad es el objeto de protección sobre un sistema abierto, provista por un protocolo de comunicación
• Autenticación• Control de Acceso• No repudiación• Confidencialidad• Integridad
Servicios de la seguridad digital
Introducción
Servicios por afuera de la recomendación X.800 ITU-T
• Disponibilidad• Autorización• Identificación• Facilidad para ser auditado• Anonimato• Reclamación de origen• Reclamación de propiedad• Protección frente a la réplica• Certificación• Referencia de tiempo• Confirmación de que una transacción se ejecutó
Servicios de la seguridad digital
Introducción
• Es una estructura diseñada para detectar, prevenir, reaccionar, recuperarse y seguir un ataque a la seguridad. En caso de que el ataque ya haya acontecido, el mecanismo puede servir para reconstruir parcial o completamente el ataque y recopilar evidencia digital, que permita iniciar un proceso jurídico contra los responsables del caso.
• Generalmente ningún mecanismo puede proveer todos los servicios de seguridad.
• Es común que los mecanismos de seguridad hagan uso de técnicas de la seguridad (e.g. técnicas criptográficas o de criptoanálisis)
Un mecanismo de seguridad digital
Introducción
El rol de la confianza en la seguridad telemática
• Todo sistema de seguridad tiene una raíz de confianza. Pueden constituir elementos de confianza:
• El fabricante.
• El administrador. • El operador.
• El usuario. • Un certificador. • Otro sistema.
Introducción
Esquema para planificar la seguridad informática
Fuente: Miguel Torrealba S.
Introducción
Esquema para planificar la seguridad informática
Fuente: Miguel Torrealba S.
Introducción
Principios de la seguridad informática• Principio del daño fácil• Principio de la protección temporal• Principio del eslabón más débil• Principio del menor privilegio• Principio de la separación de privilegios• Principio del estado seguro contra fallas• Principio de la aceptación económica de la protección• Principio de la aceptación del uso• Principio de la autoridad de los controles• Principio de la elongación y encogimiento del tiempo• Principio de la auditoría externa• Principio de la base de confianza• Principio de la toma de decisiones distribuidas• Principio de la consolidación de la información• Principio de la necesidad de proteger primero al protector
Introducción
Estrategias de la seguridad informática• Seguridad a través de la oscuridad
• Seguridad a través de la revelación absoluta
• Seguridad a través de la diversidad
• Seguridad a través de la minoría
• El coste como elemento crítico
• El uso como el elemento crítico
• La confidencialidad como el elemento crítico
• La rapidez de respuesta como elemento crítico
Introducción
Estrategias de la seguridad informática
• La mayoría de transacciones procesadas como elemento crítico
• La simplicidad y facilidad de comprensión como eje central
• La responsabilidad de la seguridad en manos de los expertos
• La responsabilidad de la seguridad en manos de todos
• La concepción de algo con base al peor caso
• La concepción de algo con base al mejor caso
Introducción
Tácticas de la seguridad informática
• La negación por omisión• La aceptación por omisión• Enumerar cada peligro• Enumerar cada bien• Acceso impedido por círculos de barreras• El uso de señuelos• Simulación de debilidad o fortaleza según convenga• Entregar un área para obtener otra• Pretender ir detrás de algo mientras se busca otra cosa• Emplear camuflaje• Atemorizar con el monitoreo continuo• Construir con ventajas operativas para uno mismo que están ocultas para el resto• Esconder la capacidad real de respuesta
Introducción
Reglas de pulgar de la seguridad informática• La visibilidad o invisibilidad de los controles puede perjudicar la administración técnica• La seguridad de un sistema de cifrado depende de la confidencialidad de la clave• Hacer públicas las sanciones por infracciones puede perjudicar la administración técnica• Cada nuevo punto de acceso agregado introduce un mayor riesgo y coste para proteger• No hay mecanismos técnicos para impedir la traición• A mayor complejidad de la protección, mayor es la dificultad para probar su efectividad• ¿Quién custodia a los custodios?• La evidencia digital se desvanece aceleradamente• Intimidar, infiltrar, secuestrar, sabotear, robar y otros ataques también sirven para defenderse
Introducción
Base de conocimientos de la seguridad informática
• Revisión de las “Mejores Prácticas de Seguridad”.
• Adaptación de las “Publicaciones Especiales del NIST”.
• Aplicación de la Serie de estándares 27000 de la ISO / IEC.
• Listas de Comprobación específicas de los sistemas.
Introducción
Base de conocimientos de la seguridad informática
Introducción
Base de conocimientos de la seguridad informática
Introducción
Base de conocimientos de la seguridad informática
Introducción
“Conoced al enemigo y conoceos vos mismos; en cien batallas nunca correréis ningún peligro”.
Sun Tzu
El Arte de la Guerra