Tema1

TEMA 1

Objetivos de la seguridad en el sistema informático :

Confidencialidad, se trata de que la información sea de carácter "privado", es un objetivo bastante importante.

Hay dos formas básicas :

Restricción de acceso (SW,"passwords"; Fisico,"policias").

Criptografía (Información cifrada).

Integridad, mantener la información en buen estado, para que sea integra, no se debe de modificar ni borrar.

Se apoya en al fiabilidad del equipamiento informático( ej.: passwords )

Disponibilidad, que se pueda acceder a los datos siempre que se quiera. Para ello se debe evitar la sobrecarga de un sistema, si es abierto, para que no suceda la denegación de acceso.

Autenticidad, intenta establecer el origen de la información, es decir descubrir quien es el emisor de la información.

No repudio, toda persona que ha recibido o manejado una información no puede negarlo. Esto se soluciona con la intervención de terceros o el uso de contratos.

En la política de seguridad se debe de exponer como proteger la información, normalmente se encuentra definida en un informe y debe de ser clara y seguirse a "rajatabla".
Para ver si se cumple se deben de realizar Auditorias.

Para crear una política de seguridad se debe realizar un, Análisis de riesgo y de valor, de los objetos a proteger. Evaluar que puede suceder si se rompe, borra o exhibe cierta información. Luego se debe evaluar el riesgo de las acciones que puedan suceder, ej.: terremoto, robo, etc.( cada una con un porcentaje ).
Combinando los siguientes elementos obtendremos el nivel de seguridad:

Coste de Seguridad : Cs.
Coste de Ataque : Ca.
Coste Real : Cr.

El nivel puede ser :

Optimo Ca > Cr > Cs.
Peligroso Cr > Ca > Cs.
Erróneo Cr > Cs > Ca.

Hay tres puntos importantes en la seguridad:

Vulnerabilidad: Cualquier punto o aspecto que puede dañar la seguridad.

Clasificación:

Físicas: Edificio, soporte.
Ambientales: Polvo, humedad.
Importantes: Relacionadas con Hw y Sw (bugs).
Comunicaciones: Relacionadas con la comunicación de equipos, ahora es la más importante, por que "internet" es muy grande y peligrosa.
Humana: Es la "más" grande, pero es fácil de controlar, tienes que tener un buen Administrador, también debes de intentar controlar a los usuarios dado que pueden producir daños, tanto voluntarios como involuntarios.

Amenaza : El "agente" que puede atacar la vulnerabilidad.

Clasificación ( según el EFECTO ):

Intercepción: Cuando una persona consigue el acceso a un área restringida.
Modificación: Requiere una intercepción y además realizar algún cambio.
Interrupción: Interrumpir el funcionamiento del sistema.
Generación: Es una clase de modificación, ej.: Añadir un "virus".

Clasificación ( según el ORIGEN ):

Físicas: Terremoto.
Involuntaria: Derramar el café.
Voluntaria: Terremoto.

Contramedida: Medidas de protección contra la/s amenaza/s.

Clasificación:

Físicas: Impiden el acceso directo.
Lógicas: Controlan el acceso a los recursos.
Administrativas: Política de Seguridad y su puesta en practica, formación de los usuarios y establecimiento de los administradores.
Legales: De efecto disuasorio o " a posteriori ".

Ideas y principios para la política de seguridad:

Principio del menor privilegio: cualquier persona sólo debe tener acceso a los niveles que necesita utilizar.
La seguridad no se obtiene a través de la oscuridad( no basta con ocultar ).
Principio de la cadena: Sólo importa el eslabón más débil.
Defensa en profundidad: Cuantas más barreras mejor.
Debe existir seguridad incluso en caso de fallo del mismo sistema de seguridad.
Principio de la participación universal : La seguridad debe ser protegida por todas las personas que utilicen los recursos.