Juan Carlos romero lagos

Juan Carlos romero lagos

CRIPTOGRAFAQu es la Criptografa?La Criptografa es una rama de las matemticas que, al orientarse al mundo de los mensajes digitales, proporciona las herramientas idneas para solucionar los problemas relacionados con la autenticidad y la confiabilidad. El problema de la confidencialidad se vincula comnmente con tcnicas denominadas de "encripcin" y la autenticidad con tcnicas denominadas de "firma digital", aunque la solucin de ambos, en realidad, se reduce a la aplicacin de procedimientos criptogrficos de encripcin y desencripcin.Cul propsito Criptografa?El uso de tcnicas criptogrficas tiene como propsito prevenir algunas faltas de seguridad en un sistema computarizado. Diferencia entre Criptografa y seguridad informtica En un modelo criptogrfico tpico, existen dos puntos: "a" y "b", que se consideran fiables y, entre ellos, se transmite informacin mediante un canal no fiable. La Criptografa se ocupa de los problemas relacionados con la transmisin confidencial y segura por el medio no fiable, en tanto la seguridad informtica se ocupa de asegurar la fiabilidad de los nodos "a" y "b".Partes de la criptografaLa Criptografa simtrica:Se ha implementado en diferentes tipos de dispositivos: manuales, mecnicos, elctricos, hasta llegar a las computadoras, donde se programan los algoritmos actuales. La idea general es aplicar diferentes funciones al mensaje que se desea cifrar de modo tal, que slo conociendo la clave, pueda descifrarse. Aunque no existe un tipo de diseo estndar, tal vez, el ms popular es el de Fiestel, que realiza un nmero finito de interacciones de una manera particular, hasta que finalmente el mensaje es cifrado. Este es el caso del sistema criptogrfico simtrico ms conocido: DES (Data Encryption Standard).La Criptografa de clave pblica o asimtrica: Tambin denominada RSA por las siglas de los apellidos de sus inventores Rivest Shamir y Adelman, es por definicin aquella que utiliza dos claves diferentes para cada usuario, una para cifrar que se llama clave pblica y otra para descifrar que es la clave privada. El nacimiento de la Criptografa asimtrica ocurri como resultado de la bsqueda de un modo ms prctico de intercambiar las llaves simtricas.

LIMITACIONES DE LA CRIPTOGRAFALos algoritmos criptogrficos tienden a degradarse con el tiempo. A medida que transcurre el tiempo, los algoritmos de encripcin se hacen ms fciles de quebrar debido al avance de la velocidad y potencia de los equipos de computacin. Todos los algoritmos criptogrficos son vulnerables a los ataques de fuerza bruta -tratar sistemticamente con cada posible clave de encripcin, buscando colisiones para funciones hash, factorizando grandes nmeros, et, la fuerza bruta es ms fcil de aplicar en la medida que pasa el tiempo.Conclusin:La Criptografa es una disciplina/tecnologa orientada a la solucin de los problemas relacionados con la autenticidad y la confidencialidad, y provee las herramientas idneas para ello.

RUTEO Y CONTROL DE FLUJO

Mecanismo de protocolo que permite al receptor controlar la razn a la que enva datos un transmisor. El control de flujo hace posible que un receptor que opera en una computadora de baja velocidad pueda aceptar datos de una de alta velocidad sin verse rebasada.

Mecanismos bsicos de seguridadAutenticacinDefinimos la Autenticacin como la verificacin de la identidad del usuario, generalmente cuando entra en el sistema o la red, o accede a una base de datos.Normalmente para entrar en el sistema informtico se utiliza un nombre de usuario y una contrasea. Pero, cada vez ms se estn utilizando otras tcnicas ms seguras.Es posible autenticarse de tres maneras:Por lo que uno sabe (una contrasea)Por lo que uno tiene (una tarjeta magntica)Por lo que uno es (las huellas digitales)La utilizacin de ms de un mtodo a la vez aumenta las probabilidades de que la autenticacin sea correcta. Pero la decisin de adoptar mas de un modo de autenticacin por parte de las empresas debe estar en relacin al valor de la informacin a proteger.La tcnica ms usual (aunque no siempre bien) es la autenticacin utilizando contraseas. Este mtodo ser mejor o peor dependiendo de las caractersticas de la contrasea. En la medida que la contrasea sea ms grande y compleja para ser adivinada, ms difcil ser burlar esta tcnica.Adems, la contrasea debe ser confidencial. No puede ser conocida por nadie ms que el usuario. Muchas veces sucede que los usuarios se prestan las contraseas o las anotan en un papel pegado en el escritorio y que puede ser ledo por cualquier otro usuario, comprometiendo a la empresa y al propio dueo, ya que la accin(es) que se hagan con esa contrasea es o son responsabilidad del dueo.AutorizacinDefinimos la Autorizacin como el proceso por el cual se determina qu, cmo y cundo, un usuario autenticado puede utilizar los recursos de la organizacin.El mecanismo o el grado de autorizacin pueden variar dependiendo de qu sea lo que se est protegiendo. No toda la informacin de la organizacin es igual de crtica. Los recursos en general y los datos en particular, se organizan en niveles y cada nivel debe tener una autorizacin.Dependiendo del recurso la autorizacin puede hacerse por medio de la firma en un formulario o mediante una contrasea, pero siempre es necesario que dicha autorizacin quede registrada para ser controlada posteriormente.En el caso de los datos, la autorizacin debe asegurar la confidencialidad e integridad, ya sea dando o denegando el acceso en lectura, modificacin, creacin o borrado de los datos.Por otra parte, solo se debe dar autorizacin a acceder a un recurso a aquellos usuarios que lo necesiten para hacer su trabajo, y si no se le negar. Aunque tambin es posible dar autorizaciones transitorias o modificarlas a medida que las necesidades del usuario varen.

AdministracinDefinimos la Administracin como la que establece, mantiene y elimina las autorizaciones de los usuarios del sistema, los recursos del sistema y las relaciones usuarios-recursos del sistema.Los administradores son responsables de transformar las polticas de la organizacin y las autorizaciones otorgadas a un formato que pueda ser usado por el sistema.La administracin de la seguridad informtica dentro de la organizacin es una tarea en continuo cambio y evolucin ya que las tecnologas utilizadas cambian muy rpidamente y con ellas los riesgos.Normalmente todos los sistemas operativos que se precian disponen de mdulos especficos de administracin de seguridad. Y tambin existe software externo y especfico que se puede utilizar en cada situacin.Auditora y registroDefinimos la Auditora como la continua vigilancia de los servicios en produccin y para ello se recaba informacin y se analiza.Este proceso permite a los administradores verificar que las tcnicas de autenticacin y autorizacin utilizadas se realizan segn lo establecido y se cumplen los objetivos fijados por la organizacin.Definimos el Registro como el mecanismo por el cual cualquier intento de violar las reglas de seguridad establecidas queda almacenado en una base de eventos para luego analizarlo.Pero auditar y registrar no tiene sentido sino van acompaados de un estudio posterior en el que se analice la informacin recabada.Monitorear la informacin registrada o auditar se puede realizar mediante medios manuales o automticos, y con una periodicidad que depender de lo crtica que sea la informacin protegida y del nivel de riesgo.

Mantenimiento de la integridadDefinimos el Mantenimiento de la integridad de la informacin como el conjunto de procedimientos establecidos para evitar o controlar que los archivos sufran cambios no autorizados y que la informacin enviada desde un punto llegue al destino inalterada.Dentro de las tcnicas ms utilizadas para mantener (o controlar) la integridad de los datos estn: uso de antivirus, encriptacin y funciones 'hash'

Configuracin lgica de una redLa configuracin lgica hace referencia a los parmetros que hay que introducir en los equipos de la red para que la comunicacin pueda realizarse adecuadamente. Los dos modelos ms comunes son:Peer-to-peer: Todos los equipos de la red actan por igual y ninguno tiene control sobre otro. Estas redes se configuran en un grupo de trabajo.Cliente-servidor: Todos los equipos de la red estn controlados por un equipo llamado servidor. Estas redes se configuran mediante un dominio.Firewall / CortafuegosQuizs uno de los elementos ms publicitados a la hora de establecer seguridad, sean estos elementos. Aunque deben ser uno de los sistemas a los que ms se debe prestar atencin, distan mucho de ser la solucin final a los problemas de seguridad.De hecho, los Firewalls no tienen nada que hacer contra tcnicas como la Ingeniera Social y el ataque de Insiders.Un Firewall es un sistema (o conjunto de ellos) ubicado entre dos redes y que ejerce la una poltica de seguridad establecida. Es el mecanismo encargado de proteger una red confiable de una que no lo es (por ejemplo Internet).Puede consistir en distintos dispositivos, tendientes a los siguientes objetivos:Todo el trfico desde dentro hacia fuera, y viceversa, debe pasar a travs de l.Slo el trfico autorizado, definido por la poltica local de seguridad, es permitido.Algunos Firewalls aprovechan esta capacidad de que toda la informacin entrante y saliente debe pasar a travs de ellos para proveer servicios de seguridad adicionales como la encriptacin del trfico de la red. Se entiende que si dos Firewalls estn conectados, ambos deben "hablar" el mismo mtodo de encriptacin, des encriptacin para entablar la comunicacin.Polticas de SeguridadLa poltica de seguridad define una serie de reglas, procedimientos y prcticas ptimas que aseguren un nivel de seguridad que est a la altura de las necesidades del sistema.Se basa, por tanto, en la minimizacin del riesgo, el cual viene definido por la siguiente ecuacin:RIESGO = (AMENAZA x VULNERABILIDAD) / CONTRAMEDIDAS.En esta ecuacin, la amenaza representa el tipo de accin maliciosa, la vulnerabilidad es el grado de exposicin a dicha accin y la contramedida es el conjunto de acciones que se implementan para prevenir o evitar la amenaza. La determinacin de estos componentes indica el riesgo del sistema.EtapasLa poltica de seguridad de un sistema informtico se define en cuatro etapas:1- La definicin de las necesidades de seguridad y de los riesgos informticos del sistema as como sus posibles consecuencias, es el primer escaln a la hora de establecer una poltica de seguridad. El objetivo de esta etapa es determinar las necesidades mediante la elaboracin de un inventario del sistema, el estudio de los diferentes riesgos y de las posibles amenazas.

2- La implementacin de una poltica de seguridad consiste en establecer los mtodos y mecanismos diseados para que el sistema de informacin sea seguro, y aplicar las reglas definidas en la poltica de seguridad. Los mecanismos ms utilizados son los sistemas firewall, los algoritmos criptogrficos y la configuracin de redes virtuales privadas (VPN).

3- Realizar una auditora de seguridad para validar las medidas de proteccin adoptadas en el diseo de la poltica de seguridad. Cuando se trata de compaas, organismos oficiales o grandes redes, suelen realizarlas empresas externas especializadas. Tambin se llama etapa de deteccin de incidentes, ya que ste es su fin ltimo.

4- La definicin de las acciones a realizar en caso de detectar una amenaza es el resultado final de la poltica de seguridad. Se trata de pever y planificar una las medidas que han de tomarse cuando surga algn problema. Esta etapa tambin es conocida como etapa de reaccin puesto que es la respuesta a la amenaza producida.

MtodosPara definir una poltica de seguridad informtica se han desarrollado distintos mtodos, diferencindose especialmente por la forma de analizar los riesgos. Algunos de ellos son:Mtodo MEHARI (Mtodo armonizado de anlisis de riesgos), desarrollado por CLUSIF (Club de la Scurit de l'Information Franais), se basa en mantener los riesgos a un nivel convenido mediante un anlisis riguroso y una evaluacin cuantitativa de los factores de riesgo.

Mtodo EBIOS(Expresin de las necesidades e identificacin de los objetivos de seguridad), desarrollado por la DCSSI (Direction Centrale de la Scurit des Systmes d'Information, permite apreciar y tratar los riesgos relativos a la seguridad de los sistemas de informacin.La norma ISO/IEC 17799 es una gua de buenas prcticas pero no especifica requisitos para establecer un sistema de certificacin.La norma ISO/IEC 27001 es certificable ya que especifica los requisitos para establecer, implantar, mantener y mejorar un sistema de gestin de la seguridad segn el PDCA, acrnimo de "plan, do, check, act" (planificar, hacer, verificar, actuar)