UNIDAD 01

Elementos de Seguridad y

Administración de Riesgos

TEMA 01 : Conceptos Básicos sobre Seguridad (I)

El equipo Docente del curso

Parámetros del Curso

CICLO Cuarto

SEMESTRE 2014 – I

CRÉDITOS 3

CARRERA REDES Y COMUNICACIONES

REQUISITOS Administración de Base de Datos

EVALUACIÓN 20%(EP1) + 40%(EF1) + 30%PROM(CE) + 10%(NA)

EVALUACIONES

CONTINUASSemana 03; Semana 05; Semana 11; Semana 14

Logros del Curso

• Al término de la asignatura, el alumno elabora diferentes propuestas de

seguridad de una red LAN, orientadas a proteger la información, utilizando las

técnicas pertinentes de acuerdo a un contexto específico.

Temario

• Conceptos básicos sobre Seguridad en Redes

• Criptografía y algoritmos criptográficos

• Tipos de criptografía (DES, AES, IDEA, etc.)

• Técnicas de encriptación de datos

• Arquitectura de seguridad en redes

• Protocolos de seguridad en redes

Logros de la Sesión de Aprendizaje

• Al término de Unidad de aprendizaje, el alumno explica la naturaleza de los tres

pilares de seguridad y establece criterios para la defensa y protección de una red

dentro de un esquema de seguridad de red basado en multicapas, empleando el

análisis de vulnerabilidades y el análisis de riesgos subyacente en cada capa y la

identificación amenazas.

Red de Contenidos en Seguridad

1.Seguridad de las Aplicaciones

2.Seguridad de la red

3.Seguridad del Host

Seguridad en las Aplicaciones

Validación de usuarios

Autenticación

Autorización

Confidencialidad Auditoria

Criptografía

Administración

Servidor de aplicaciones

¿Cómo?

Seguridad en la Red

Firewall

IPS

IDS

Enrutadores

Conmutador o Switch

Seguridad en el Host

Recursos compartidos

Cuentas de

UsuariosProtocolos

PuertosServicios

¿Qué es lo más importante en una red?

¿?

La Información

“La información es un activo, que tal como otros importantes

activos del negocio, tiene valor para la compañía y

consecuentemente requiere ser protegida adecuadamente.”

ISO/IEC 17799:2005

Dónde encontramos las información

Unidades de Almacenamiento

Conocimiento de las personas

Recursos tecnológicos de información

Documentación

Seguridad en la información

• Es un proceso sistemático y continuo.

• Orientado a la protección de los activos críticos y sensibles.

• Requiere un plan estratégico acordes con los objetivos del negocio

• Requiere análisis constante y control de riesgos.

• Este mecanismo está conformado por: procesos,

tecnología, metodologías y PERSONAS.

Peligros de la información

• Un Agente externo o interno no autorizado podría:

Filtrar.

Modificar.

Borrar.

Usurpar.

Mirar y clasificar.

Deducir.

Vender.

Información

Hackers y Crackers

• Hacker es una persona que modifica el software o hardware de su sistema

computacional o una red para construir, reconstruir, modificar y crear software o

hardware, para mejorar su sistema haciéndolo

más rápido y eficiente o logrando ejecutar

funciones que quizás nunca se habían

pensado realizar con el sistema original.

Hackers y Crackers

• Cracker es la persona que mediante ingeniería inversa viola la seguridad de un

sistema informático de forma similar a como lo haría un hacker, sólo que a

diferencia de este último, el cracker realiza la intrusión con fines de beneficio

personal o para hacer daño. También se dice que es la persona que realiza

seriales, keygens y cracks, los cuales sirven para modificar el comportamiento o

ampliar la funcionalidad de un software o hardware original, sin que en absoluto

pretenda ser dañino para el usuario del mismo.

Habilidades de los Hackers

Complejidad

de las

herramientas

Packet Forging/

Spoofing

Password

Guessing

Self Replicating

Code

Password

Cracking

Exploiting Known

Vulnerabilities

Disabling

Audits

Back

Doors

Hijacking

Sessions

Sweepers

Sniffers

Stealth Diagnostics

Complejidad

de uso

Alto

Bajo Tiempo

DDOS

Ataques a la seguridad de la red

Captura de PC desde el exterior

Violación de e-mailsViolación de contraseñas

Interrupción de los servicios

Intercepción y modificación de e-mails

VirusFraudes informáticos

Incumplimiento de leyes y regulaciones

Robo o extravío de notebooks

empleados deshonestos

Robo de información

Destrucción de soportes documentales

Acceso clandestino a redes

Intercepción de comunicaciones

Destrucción de equipamiento

Programas “bomba”

Acceso indebido a documentos impresos Software ilegal

Agujeros de seguridad de redes conectadasFalsificación de información para terceros

Indisponibilidad de información clave

Spamming

Violación de la privacidad de los empleados

Ingeniería socialPropiedad de la Información

Mails “anónimos” con información crítica o con agresiones

Objetivos de los Ataques

Password cracking Vandalismo

Ganancias financieras

Extorsión

Espionaje corporativoChantaje

Destrucción de equipamiento

Ideologías

Venganza

Destrucción de capacidades

Sabotaje

¿Porqué no se implementa la seguridad?

¿Qué hacemos?

Dónde interviene la seguridad?

Procesos

Organización

Tecnología

Infraestructura

Seg

uri

dad

de la

in

form

ació

n

Pasos para implementar la seguridad

Compromiso y participación de la Alta Dirección

Organizar una estructura de Seguridad Integral.

Definir los alcance y los objetivos de la Seguridad.

Identificar y clasificar los activos críticos y sensibles de la organización.

Implementar un sistema efectivo de Gestión del Riesgo

Desarrollar y difundir las Políticas de Seguridad de la Organización.

Concienciación y Capacitación en temas de Seguridad

Gestión de la seguridad