Descargar

Seguridad informática y criptografía

Enviado por Pablo Turmero


Partes: 1, 2

    edu.red

    Los datos deben protegerse aplicando: Seguridad Lógica Uso de herramientas de protección de la información en el mismo medio en el que se genera o transmite. Protocolos de autenticación entre cliente y servidor. Aplicación de herramientas de seguridad en redes. Se incluyen también medidas de prevención de riesgos y la instauración de políticas de seguridad, de planes de contingencia, de recuperación ante desastres, aplicación de normativas, la legislación vigente, etc. Seguridad Física Procedimientos de protección física del sistema: acceso personas, incendio, agua, terremotos, etc. Protección lógica y física de los datos

    edu.red

    Anclajes a mesas de trabajo. Cerraduras en puertas. Tarjetas con alarma. Etiquetas con adhesivos especiales. Bloqueo de unidades externas. Protectores de teclado. Tarjeta de control de acceso al hardware. Sistema de suministro continuo de corriente. Toma de tierra. Eliminación de la estática… etc. La seguridad física en entornos de PCs Temas a tener en cuenta en un entorno de PCs

    edu.red

    Es el proceso de identificación y evaluación del riesgo a sufrir un ataque y perder datos, tiempo y horas de trabajo, comparándolo con el costo que significaría la prevención de este suceso. Su análisis no sólo nos lleva a establecer un nivel adecuado de seguridad, sino que permite conocer mejor el sistema que vamos a proteger. Análisis de riesgo: plan estratégico Le recomiendo descargar estas herramientas de libre distribución para el análisis de riesgo desde las direcciones que se indican: ? http://www.criptored.upm.es/software/sw_m214_01.htm ? http://www.csi.map.es/csi/pg5m20.htm Chinchon V 1.3 Magerit V 2

    edu.red

    Información que se obtiene en un análisis de riesgo: Determinación precisa de los recursos sensibles de la organización. Identificación de las amenazas del sistema. Identificación de las vulnerabilidades específicas del sistema. Identificación de posibles pérdidas. Identificación de la probabilidad de ocurrencia de una pérdida. Derivación de contramedidas efectivas. Identificación de herramientas de seguridad. Implementación de un sistema de seguridad eficiente en costes y tiempo. Información del análisis de riesgo

    edu.red

    ¿ B ? P ? L ?

    B: es la carga o gasto que significa la prevención de una pérdida específica debido a una vulnerabilidad. P: es la probabilidad de que se vea afectada dicha vulnerabilidad y ocurra esa pérdida específica. L: es el impacto o coste total que significa la pérdida específica debido a esa vulnerabilidad que ha sido afectada por una amenaza. Ecuación básica del análisis de riesgo

    edu.red

    Si B ? P ? L Hay que implementar una medida de prevención. Si B ? P ? L No es necesaria una medida de prevención. ¿Cuándo y cuánto invertir en seguridad? … al menos matemáticamente. No obstante, siempre puede ocurrir una desgracia que esté fuera de todo cálculo como las consecuencias informáticas en algunas empresas tras el 11 de septiembre. Lo que sí es cierto, es que no tiene sentido alguno invertir más dinero en la protección del bien que el propio valor de éste.

    edu.red

    Las medidas y herramientas de control han de tener menos coste que el valor de las posibles pérdidas y el impacto de éstas si se produce el riesgo temido. Ley básica: el costo del control ha de ser menor que el activo que se protege. Algo totalmente lógico y que tanto los directivos como los responsables de seguridad de la empresa deberán estimar de forma adecuada a su realidad. En varios casos, el verdadero problema está en la dificultad de calcular de forma más o menos precisa el impacto económico que puede suponer el hecho de que ocurra ese riesgo. Efectividad del coste de la medida

    edu.red

    Factor L (en B ? P ? L) El factor de impacto total L es difícil de evaluar. Incluye daños a la información, a los equipos, pérdidas por reparación, por volver a levantar el sistema, pérdidas por horas de trabajo, etc. Siempre habrá una parte de valoración subjetiva. La pérdida de datos puede llevar a una pérdida de oportunidades por el llamado efecto cascada. En la organización debe existir una comisión especializada interna o externa que sea capaz de evaluar todas las posibles pérdidas y cuantificarlas. El factor L en la ecuación de riesgo

    edu.red

    Factor P (en B ? P ? L) El factor P está relacionado con la determinación del impacto total L y depende del entorno en el que esté la posible pérdida. Como este valor es difícil de cuantificar, dicha probabilidad puede asociarse a una tendencia o frecuencia conocida. Una vez se conoce P para un L dado, se obtiene la probabilidad de pérdida relativa de la ocurrencia P?L que se comparará con B, el peso que nos supondría implantar la medida de prevención respectiva. El factor P en la ecuación de riesgo

    edu.red

    Factor B (en B ? P ? L) Indica qué se requiere para prevenir una pérdida. Por ejemplo, puede ser la cantidad de dinero que vamos a disponer para mitigar la posible pérdida. Ejemplo: la carga de prevención para que un sistema informático minimice el riesgo de que sus servidores sean atacados desde fuera incluye la instalación de software y hardware adecuado, un cortafuegos, un sistema de detección de intrusos, una configuración de red segura, una política de seguimiento de accesos y de passwords, personal técnico cualificado, etc. Todo ello importa una cantidad de dinero específica. El factor B en la ecuación de riesgo

    edu.red

    ¿ B ? P ? L ? ¿Cuánta protección es necesaria? En nuestro ejemplo: qué configuración de red usar, en qué entorno trabajar, qué tipo de cortafuegos, etc. Eso dependerá del nivel de seguridad que nuestra empresa desee, crea oportuno o que nos imponga el mercado. ¿De qué forma nos protegeremos? Una casa puede protegerse con puertas, cerraduras, barras de hierro en ventanas, sistemas de alarmas, etc. En un sistema informático podemos aplicar protecciones físicas, políticas de seguridad, control de accesos, planes de contingencia y de recuperación, cortafuegos, IDs, uso de cifrado, autenticación, firmas, pasarelas seguras, etc. Cuantificación de la protección

    edu.red

    Pasos en un análisis de riesgos 1. Identificación costo posibles pérdidas (L)

    Identificar amenazas 2. Determinar susceptibilidad. La probabilidad de pérdida (P) 3. Identificar posibles acciones (gasto) y sus implicaciones (B). Seleccionar acciones a implementar. ¿ B ? P?L ? Se cierra el ciclo

    Partes: 1, 2
    Página siguiente