Upload File

adopción de pautas de la seguridad · pdf fileherramientas de análisis forense....

  • Home
  • Documents
  • ADOPCIÓN DE PAUTAS DE LA SEGURIDAD · PDF fileHerramientas de análisis forense. 3 FIABILIDAD, CONFIDENCIALIDAD, ... Debido a que la Seguridad Informática tiene como propósitos
Download ADOPCIÓN DE PAUTAS DE LA SEGURIDAD · PDF fileHerramientas de análisis forense. 3 FIABILIDAD, CONFIDENCIALIDAD, ... Debido a que la Seguridad Informática tiene como propósitos

If you can't read please download the document

Upload: dangkien

Post on 07-Feb-2018

222 views

Category:

Documents


1 download

Report

TRANSCRIPT

  • 1

    ADOPCIN

    DE

    PAUTAS

    DE LA

    SEGURIDAD

    INFORMTICA

    MARA NGELES PEASCO SNCHEZ- 2 ASIR

  • 2

    Unidad 1

    1. FIABILIDAD, CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD.

    2. ELEMENTOS VULNERABLES EN EL SISTEMA INFORMTICO: HARDWARE,

    SOFTWARE Y DATOS.

    3. ANLISIS DE LAS PRINCIPALES VULNERABILIDADES DE UN SISTEMA

    INFORMTICO.

    4. AMENAZAS. TIPOS: AMENAZAS FSICAS. AMENAZAS LGICAS.

    5. SEGURIDAD FSICA Y AMBIENTAL.

    6. UBICACIN Y PROTECCIN FSICA DE LOS EQUIPOS Y SERVIDORES.

    7. SISTEMAS DE ALIMENTACIN ININTERRUMPIDA.

    8. SISTEMAS BIOMTRICOS. FUNCIONAMIENTO. ESTNDARES.

    9. COPIAS DE SEGURIDAD E IMGENES DE RESPALDO.

    10. MEDIOS DE ALMACENAMIENTO.

    a. Soportes de almacenamiento.

    b. Almacenamiento redundante y distribuido: RAID y Centros de

    Respaldo.

    c. Almacenamiento remoto: SAN, NAS y almacenamiento clouding.

    d. Polticas de almacenamiento.

    11. CONTROL DE ACCESO LGICO:

    a. Identificacin, autenticacin y autorizacin.

    b. Poltica de contraseas.

    12. AUDITORIAS DE SEGURIDAD INFORMTICAS.

    a. Concepto. Tipos de auditoras.

    b. Pruebas y herramientas de auditora informtica.

    13. CRIPTOGRAFA.

    a. Objetivos. Conceptos. Historia.

    b. Cifrado y Descifrado.

    14. MEDIDAS DE SEGURIDAD.

    a. Poltica de seguridad.

    b. Seguridad activa y Seguridad pasiva.

    15. ANLISIS FORENSE EN SISTEMAS INFORMTICOS.

    a. Funcionalidad y fases de un anlisis forense.

    b. Respuesta e incidentes.

    c. Anlisis de evidencias digitales.

    d. Herramientas de anlisis forense.

  • 3

    FIABILIDAD, CONFIDENCIALIDAD, INTEGRIDAD Y

    DISPONIBILIDAD.

    Qu es fiabilidad?

    El trmino fiabilidad es la probabilidad de buen funcionamiento de algo. Por tanto, extendiendo el significado a sistemas, se dice que la fiabilidad de un sistema es la probabilidad de que ese sistema funcione o desarrolle una cierta funcin, bajo condiciones fijadas y durante un perodo determinado.

    Qu es confidencialidad?

    Se trata de la cualidad que debe poseer un documento o archivo para que este solo se entienda de manera comprensible o sea ledo por la persona o sistema que este autorizado.

    De esta manera se dice que un documento (o archivo o mensaje) es confidencial si y solo si puede ser comprendido por la persona o entidad a quien va dirigida o est autorizada. En el caso de un mensaje esto evita que exista una intercepcin de este y que pueda ser ledo por una persona no autorizada.

    Qu es integridad?

    La integridad es la cualidad que posee un documento o archivo que no ha sido alterado

    y que adems permite comprobar que no se ha producido manipulacin alguna en el

    documento original. Aplicado a las bases de datos seria la correspondencia entre los

    datos y los hechos que refleja.

    Qu es disponibilidad?

    Se trata de la capacidad de un servicio, de unos datos o de un sistema, a ser accesible y

    utilizable por los usuarios (o procesos) autorizados cuando estos lo requieran.

    http://es.wikipedia.org/wiki/Fiabilidadhttp://es.wikipedia.org/wiki/Sistemas

  • 4

    ELEMENTOS VULNERABLES EN EL SISTEMA INFORMTICO:

    HARDWARE, SOFTWARE Y DATOS.

    Una vulnerabilidad o fallo de seguridad, es todo aquello que provoca que nuestros sistemas informticos funcionen de manera diferente para lo que estaban pensados, afectando a la seguridad de los mismos, pudiendo llegar a provocar entre otras cosas la prdida y robo de informacin sensible.

    Aunque normalmente los fallos de seguridad se centran en el software, tambin podemos encontrar otro tipo de vulnerabilidades que se centran en el mbito fsico. En este sentido podemos pensar que estamos completamente protegidos desde el punto de vista de ataques informticos, virus, etc. pero puede que no sirva de nada todo ese esfuerzo si por el contrario no se ha previsto cmo hacer frente ante un posible incendio o permitimos el acceso no autorizado al CPD.

    Ataques al hardware: Se pueden producir de forma intencionada o no. Incendios

    fortuitos en los sistemas, fallos fsicos, rotura fsica de cables....

    Ataques al software: Se pueden centrar contra los programas del sistema operativo, a

    los programas de utilidad o a los programas de usuario. Existe gran variedad de

    ataques software:

    Bomba lgica: el programa incluye instrucciones que, al cumplirse una condicin,

    provocan una distorsin del funcionamiento normal del programa, que normalmente,

    deriva en daos al ordenador que lo ejecuta. Esta tcnica es usada por algunos

    programadores. Introducen en la aplicacin un cdigo que se activa en una fecha

    determinada para que, si no ha cobrado por su trabajo ese da, destruya la informacin

    del ordenador en el que ha sido instalado.

    Virus. Todos sabemos lo que son, cmo se comportan e incluso habremos sufrido sus

    consecuencias. Hoy en da, la conectividad entre ordenadores hace que existan

    muchsimos ms de los 30 o 40 mil conocidos a finales de los 80, y que su impacto,

    cuando logran trascender, sea mucho mayor.

    Gusanos. Son programas que se replican, la lnea que los separa de los virus es muy

    delgada.

  • 5

    Backdoors o puertas falsas: Son programas que permiten la entrada en el sistema de

    manera que el usuario habitual del mismo no tenga conocimiento de este ataque.

    Caballos de Troya: El objetivo de estos programas no es el mismo para el que

    aparentemente estn diseados. Se utilizan normalmente para instalar puertas

    traseras.

    Ataques a los datos: Se suele conocer como ingeniera social. Consiste realmente en

    mantener un trato social con las personas que custodian datos. Indagar en sus

    costumbres o conocerlas ms profundamente para perpetrar posteriormente un

    ataque ms elaborado. La ingeniera social incluye desde suplantacin de identidades

    confiables hasta la bsqueda en papeleras y basuras de informacin relevante.

    ANLISIS DE LAS PRINCIPALES VULNERABILIDADES DE UN

    SISTEMA INFORMTICO.

    Existen diferentes vulnerabilidades que, dependiendo de sus caractersticas, las podemos clasificar e identificar en los siguientes tipos:

    De configuracin

    Si la gestin administrable por el usuario es tal que hace que el sistema sea vulnerable, la vulnerabilidad no es debida al diseo del mismo si no a cmo el usuario final configura el sistema. Tambin se considera error de este tipo cuando la configuracin por defecto del sistema es insegura, por ejemplo una aplicacin recin instalada que cuenta de base con usuarios por defecto.

    Validacin de entrada

    Este tipo de vulnerabilidad se produce cuando la entrada que procesa un sistema no es comprobada adecuadamente de forma que una vulnerabilidad puede ser aprovechada por una cierta secuencia de entrada.

    Salto de directorio

    sta aprovecha la falta de seguridad de un servicio de red para desplazarse por el rbol de directorios hasta la raz del volumen del sistema. El atacante podr entonces desplazarse a travs de las carpetas de archivos del sistema operativo para ejecutar una utilidad de forma remota.

  • 6

    Seguimiento de enlaces

    Se producen cuando no existe una proteccin lo suficientemente robusta que evite el acceso a un directorio o archivo desde un enlace simblico o acceso directo.

    Inyeccin de comandos en el sistema operativo

    Hablamos de este tipo de vulnerabilidad para referirnos a la capacidad de un usuario, que controla la entrada de comandos (bien a travs de un terminal de Unix/Linux o del interfaz de comando de Windows), para ejecutar instrucciones que puedan comprometer la integridad del sistema.

    Secuencias de comandos en sitios cruzados (XSS)

    Este tipo de vulnerabilidad abarca cualquier ataque que permita ejecutar cdigo de "scripting", como VBScript o javascript, en el contexto de otro dominio. El problema est en que normalmente no se validan correctamente los datos de entrada que son usados en cierta aplicacin.

    Inyeccin SQL

    Inyeccin SQL es una vulnerabilidad informtica en el nivel de base de datos de una aplicacin. El origen es el filtrado incorrecto de las variables utilizadas en las partes del programa con cdigo SQL.

    Una inyeccin de cdigo SQL sucede cuando se inserta un trozo de cdigo SQL dentro de otro cdigo SQL con el fin de modificar su comportamiento, haciendo que ejecute el cdigo malicioso en la base de datos.

    Inyeccin de cdigo

    1. Inyeccin directa de cdigo esttico: el software permite que las entradas sean introducidas directamente en un archivo de salida que se procese ms adelante como cdigo, un archivo de la biblioteca o una plantilla.

    2. Evaluacin directa de cdigo dinmico: el software permite que las entradas sean introducidas directamente en una funcin que evala y ejecuta dinmicamente la entrada como cdigo, generalmente en la misma lengua que usa el producto.

    3. Inclusin remota de archivo PHP: vulnerabilidad existente nicamente en paginas dinmicas escritas en PHP est debida a la inclusin de la funcin include () la cual permite el enlace de archivos situados en otros servidores, mediante los cuales se puede ejecutar cdigo PHP en el servidor.

  • 7

    Error de bfer

    Un bfer es una ubicacin de la memoria en una computadora o en un instrumento digital reservada para el almacenamiento temporal de informacin digital, mientras que est esperando ser procesada.

    Formato de cadena

    Nos referimos a este tipo de vulnerabilidad cuando se produce a travs de cadenas de formato controladas externamente, como el tipo de funciones "printf" en el lenguaje "C" que puede


7. confidencialidad y seguridad de la informacion

Confidencialidad y secreto

Introducción: confidencialidad, autenticación, integridad y no repudio. Claves de la seguridad

VOTO ELECTRÓNICO Estándares, Seguridad y Confidencialidad

Seguridad Informática: Criptografía (II) · PDF fileObjetivos de la seguridad informática Confidencialidad Disponibilidad Integridad No repudio ¿Puede ayudarnos la criptografía

Caso de Confidencialidad

Política de Confidencialidad...Política de Confidencialidad Política de Confidencialidad Consideramos confidencialidad toda la información recibida por nosotros, así como cualquier

Taller seguridad y confidencialidad informacion

Guía de Medidas de Seguridad · 2014-01-20 · Los entes públicos establecerán las medidas de seguridad técnica y organizativa para garantizar la confidencialidad ... De comunicaciones

Más que Facturación Electrónica, - esavdoc.comesavdoc.com/pdf/brochure_Esav_empresa.pdf · calidad y garantizando la seguridad y confidencialidad de todas nuestras operaciones

Bioética - Confidencialidad

Introducción a la Seguridad Informática - cryptomex.org · daño violando la confidencialidad integridaddaño violando la confidencialidad, integridad o disponibilidad ... – Privilegios

Seguridad y alta disponibilidad Miguel Ángel García … · Seguridad y alta disponibilidad Miguel Ángel García Felipe 2º ASIR TEMA 1 PRÁCTICA 1: CONFIDENCIALIDAD Encriptación

Recomendaciones de Seguridad Física Nuclear sobre la ... · Física Nuclear del OIEA se tienen en cuenta factores de confidencialidad y se reconoce que la seguridad física nuclear

“DIAGRAMA DE QUEJAS Y RECLAMOS”. ENTIDAD VIGILADA (E.V.) VALORES CORPORATIVOS SEGURIDAD CÓDIGO DE CONDUCTATRANSPARENCIA VERACIDAD CONFIDENCIALIDAD

Acuerdos de confidencialidad

Intimidad y confidencialidad:

Acuerdo de confidencialidad

Lectura Confidencialidad

Modelo de Seguridad y Privacidad de la Información · El Modelo de Seguridad y Privacidad de la Información – MSP, preserva la confidencialidad, integridad, disponibilidad y privacidad

Hacking y Seguridad en Redes de Telefonía Móvil - … de Seguridad en GSM Confidencialidad del subscriptor (IMSI) Autenticación del suscriptor Confidencialidad en comunicaciones

Guia confidencialidad

Capítulo 8 Seguridad en Redesprofesores.elo.utfsm.cl/~agv/elo323.ipd438/2s17/...3 ¿Qué es la seguridad en la Red? 4 servicios básicos: Confidencialidad Autenticación Integridad

La Seguridad y la Confidencialidad de la Información y · Informática y del Capítulo Español de la EDP Auditors Association, consultor en seguridad y auditor informático. l

NORMATIVA DE SEGURIDAD DE LA INFORMACIÓN · La seguridad de la información se define como la protección de la confidencialidad, disponibilidad e integridad de la información respecto

DocumentoOrientadorPPDP.docxinicio.ifai.org.mx/DocumentosdeInteres/DocumentoOrientad... · Web viewLos deberes de seguridad y confidencialidad deben observarse especialmente en cualquier

Anon - La Seguridad Y Confidencialidad de La Informacion Clinica

CONCEPTOS Y HERRAMIENTAS SOBRE SISTEMAS · PDF fileHerramientas ... desarrollo a través de las alianzas que la comunidad educativa?, ¿qué mejor tema que la seguridad de nuestras

Lab confidencialidad

LA SEGURIDAD, CONFIDENCIALIDAD Y DISPONIBILIDAD DE LA … · 2015-04-19 · Claves públicas y privadas Como ya se ha indicado, son mecanismos básicos de seguridad. Consisten en

124. LA SEGURIDAD EN REDES. TIPOS DE ATAQUES Y ...€¦ · 2.2 PRINCIPALES PROBLEMAS DE SEGURIDAD EN LAS REDES Atendiendo a los tres factores de seguridad (Confidencialidad, Integridad,

Capítulo 8 Seguridad en Redesprofesores.elo.utfsm.cl/~agv/elo323/2s14/lectures/NetworkSecurityPrinciples.pdf · 3 ¿Qué es la seguridad en la Red? 4 servicios básicos: Confidencialidad

PLIEGO DE PRESCRIPCIONES TÉCNICAS DE LOS ......11.2 SEGURIDAD DE LOS SISTEMAS ..... 94 11.3 SEGURIDAD, CONFIDENCIALIDAD Y PROTECCIÓN DE DATOS..... 95 11.3.1 Encargado de 11.3.2 Limitación

Sistema informatico de gestion y control · PDF fileherramientas imprescindibles:

ACIDNRRequisitos de Seguridad de la Información : ACID + No Repudio –A –Autenticación (De Emisor y Receptor). –C –Confidencialidad. –I –Integridad. –D