Security Assesment

M.C. Juan Carlos Olivares Rojas

Department of Computer and SystemInstituto Tecnológico de Morelia

jcolivar@itmorelia.edu.mx19.72388 lat, -101.1848 long

DisclaimerSome material in this presentation has been obtained from various sources, each of which has intellectual property, so in this presentation will only have some rights reserved.

These slides are free, so you can add, modify, and delete slides (including this one) and slide content to suit your needs. They obviously represent a lot of work on my part. In return for use, I only ask the following: if you use these slides (e.g., in a class) in substantially unaltered form, that you mention their source.

Outline• Generalities of Physical Area Security

• Logical and Confidential Security

• Staff Security

• Security Control Classification

• Data and Software Application Security

• Control for Software Applications Assesment

• Control for avoiding crime and informatic frauds

• Contingency Plan, Insurance, Procedures of Backup Disasters.

Outline• Techniques and Tools related with physical and

staff security.

• Techniques and Tools related with data and software application security.

Objectives of the Session• The students will know the basis of Security

Information.

• The students will identified and applied some security controls in the organisations.

Competencias• Genéricas: Análisis, Diseño de soluciones,

Creatividad y Trabajo en equipo

• Naturaleza Competencia: Entrenamiento

• Competencias Específicas: • Conocimiento de los fundamentos de auditoria

(conceptos básicos, planeación, Auditoría de la función informática, Presentación de Informes)

• Conocimiento y Aplicación de los Estándares de Auditoria en Seguridad Informática y Redes.

Objetivo• Los estudiantes definirán y aplicarán controles

en diferentes áreas informáticas tales como: instalaciones físicas, recursos humanos, telecomunicaciones, seguridad de la información, realizando actividades de auditoría y consultoría informática.

Certificación CISA• Está compuesta por 200 preguntas:

• Proceso de Auditoria de SI 10%

• Gobernanza TI 15%

• Gestión del Ciclo de Vida de Infraestructura y Systemas 16%

• Soporte y Entrega de Servicios de TI 14%

• Protección de Activos de Información 31%

• Continuidad del Negocio y Recuperación de Desastres 14%

Estd. de Seguridad Informática• ISO 17799- ISO 27001

– Política de seguridad– Aspectos organizativos para la seguridad– Clasificación y control de activos– Seguridad ligada al personal– Seguridad física y del entorno– Gestión de comunicaciones y operaciones– Control de accesos– Desarrollo y mantenimiento de sistemas– Gestión de incidentes de seguridad– Gestión de continuidad de negocio– Conformidad

¿Por qué usar Mejores Prácticas?• Nos orientan hacia mejores resultados

Seguridad Informática

• Cualquier medida que impida la ejecución de operaciones no autorizadas sobre un sistema o red informática, cuyos efectos pueden conllevar daños sobre la información, comprometer su confidencialidad, autenticidad o integridad, disminuir el rendimiento de los equipos o bloquear el acceso de usuarios autorizados al sistema.

Seguridad

• El ISO/IEC 17799, define CIA (Confidentialy, Integrity, Availability) como pilar fundamental de la Seguridad Informática.

• Principios de “defensa en profundidad”: cifrado de datos, gestión de usuarios, configuración robusta de equipos, segmentación de redes (VLANs), Seguridad Perimetral.

Seguridad Informática

• Existen 4 planes de actuación: técnico, humano, legal y organizativo.

• La seguridad es un proceso. Se necesita de un Sistema de Gestión de Seguridad de la Información (SGSI).

• La información es un recurso vital en el mundo globalizado de hoy en día.

Seguridad Informática• SSE/CMM (Systems Security Engineering/

Capability Maturity Model) define:

• Nivel 0: Nada de seguridad

• Nivel 1: Prácticas de seguridad realizadas de manera informal

• Nivel 2: Planificación y seguimiento de las prácticas de seguridad

Seguridad Informática

• Nivel 3: Definición y coordinación de las políticas y procedimientos de seguridad.

• Nivel 4: Seguridad controlada a través de distintos controles y objetivos de calidad.

• Nivel 5: Implantación de un proceso de mejora continua.

Seguridad Informática

• Se tiene una jerarquía de seguridad informática:

• CIA

• Políticas

• Planes

• Procedimientos

• Tareas y Operaciones

• Registros y Evidencias.

Seguridad Informática• Ejemplo de seguridad CIA

• Política: protección del servidor Web de la organización contra accesos no autorizados.

• Procedimiento 1: Actualización del software del servidor Web.

• Tarea1: Revisión diaria de los parches publicados por el fabricante.

Seguridad Informática

• Tarea2: Seguimiento de las noticias sobre posibles fallos de seguridad.

• Procedimiento 2: Revisión de los registros de actividad en el servidor.

• Tarea1: revisión semanal de los “logs” del servidor para detectar anomalías.

Seguridad Informática

• Tarea2: Configuraciones de alertas de seguridad que permitan reaccionar de forma urgente ante determinados tipos de ataques e intentos de intrusión.

• Inventario de soportes físicos. Destructor de Discos Duros

SGSI• Un SGSI se encuentra estandarizado en la

norma ISO 27001:2005.

• La ISO 17799:2005 define buenas prácticas de SI pero en si no es certificable como tal. Se utilizó hasta antes de definirse el ISO 27001:2005

• Está basado en la norma británica BS7799 utilizada en seguridad de SI.

SGSI

• A continuación se muestran las principales versiones del estándar:

• ISO 27000 Vocabulario y Glosario

• ISO 27001 Estándar certificable

• ISO 27002 Relevo del ISO/IEC 17799:2005

SGSI

• ISO 27003 Guía de implantación

• ISO 27004 Métricas e indicadores

• ISO 27005 Gestión de Riesgos

• ISO 27006 Requerimientos para las entidades de auditoría y certificación.

SGSI

• Se basa en la metodología de Dewey (Plan, Do, Check, Act). La cual quedaría definida así:

• Plan: Establecer el SGSI

• Do: Implantar y Operar el SGSI

• Check: Monitorear y Revisar el SGSI

SGSI

• Act: Mantener y mejorar el SGSI

• Otras actividades:

• Control de Documentos

• Capacitación

• Acción Correctiva

• Acción preventiva

SGSI

• Se clasifican cada uno de los activos, se determinan amenazas, vulnerabilidades, riesgos basándose en una escala de 1 (muy bajo) a 5 (muy alto).

• Se debe realizar un Plan de Continuidad del Negocio, el cual puede contener:

• DRP Disaster Recovery Planning

SGSI

• BRP Business Resumption Planning

• COOP Continuity Operations Planning

• CP Contingence Planning

• ERP Emergency Response Planning

SGSI

• Pirámide Documental:

• Manual de Seguridad

• Procedimientos

• Instrucciones de Trabajo

• Documentos

SGSI

• Se deben tomar en cuenta muchos aspectos para establecer mecanismos de seguridad:

• Aspectos legales, sociales y éticos

• Controles físicos

• Cuestiones de política

SGSI

• Problemas operacionales

• Controles de hardware

• Soporte del Sistema Operativo

• Existen dos enfoques de seguridad: discrecional y obligatorio.

SGSI

• En el discrecional, los usuarios tienen derechos de acceso diferentes (privilegios) por lo tanto son muy flexibles

• El control obligatorio, cada objeto está etiquetado con un nivel de clasificación y a cada usuario se le da un nivel de acreditación. Son sistemas jerárquicos y rígidos.

SGSI

• La autenticación es el proceso que consiste en verificar que el usuario es quién dice ser.

• La autorización es el proceso para que un usuario pueda realizar una acción.

• Registro de auditoría es un archivo o base de datos en el que el sistema lleva la cuenta de las operaciones realizadas por los usuarios.

SGSI

• Los controles de acceso obligatorio se rigen en base al principio de Bell-LaPadula:

• El usuario i puede recuperar el objeto j sólo si el nivel de acreditación de i es mayor o igual al nivel de clasificación de j (“propiedad de seguridad simple”).

SGSI• El usuario i puede actualizar el objeto j sólo si

el nivel de acreditación de i es igual al nivel de clasificación de j.

• Los controles de acceso se dividen en 4: D, C, B y A.

• Donde D es la protección mínima, C es discrecional, B es obligatoria y A es verificada.

SGSI

• Dentro de C, se encuentran los niveles C1 (menos segura) y C2.

• La seguridad física es muy importante a tal punto que se debe de considerar en todo SGSI.

• Una de las normas de seguridad física más utilizada es: BS 7799-2:2002.

Riesgos de Seguridad Informática

Pasos Recomendados en una Estrategia

Evaluación de Activos

COBITControl Objective for Information & related

Technology.

ITIL

• IT Infrastructure Library, incluye definiciones de las mejores prácticas para la gestión de Servicios. La definición se divide en dos volúmenes:

• Soporte de Servicios

• Distribución de Servicios

Amenazas de Seguridad

• Intercepción

• Interrupción

• Modificación

• Fabricación

Amenazas de Seguridad

• Ingeniería Social

• Ataques pasivos

• Ataques activos

• Análisis de Riesgos

• Interrupción del Serivicio

• FPGA

Amenazas de Seguridad

• Virus informáticos

• Gusanos

• Troyanos

• Spyware

• Adware

• Dialers

• Exploit

• Bots

• Pharming

Amenazas de Seguridad

• Backdoor

• Bomba fork

• Hijacker

• Keystroke o Keyloggers

• Párasito Informático

Amenazas de Seguridad

• Phishings

• Pornware

• Rabbit

• Rootkit

• Spam

• Pop-Ups

• Bomba Lógica

• Cookies (Malas)

• Trampas y/o Inocentadas

Mecanismos de Seguridad

• Cifrado

• Autorización

• Autenticación

• Auditoría

Mecanismos de Seguridad

• Derecho a la intimidad

• Elaboración de perfiles

• Dispositivos biométricos

• Uso de VPN

• Uso de certificados de autoridad

Mecanismos de Seguridad

• Antivirus

• Firewall

• Anti-Spyware

• Anti-Rootkits

• Parches (Service Pack)

• Configuraciones

• Trucos, Trucos y más trucos

Mecanismos de Seguridad

• Hacer copias de seguridad

• Habilitar las zonas de seguridad

• Utilizar antivirus y dos firewalls*

• Control para padres

• Utilización de sockets seguros (SSL)

Mecanismos de Seguridad

• Emplear claves difíciles de acordar.*

• Comprobar el estado del sistema operativo.

• Comprobación del estado del hardware

• Evitar descargas de archivos.

• IDS Sistemas Detector de Intrusos

• Utilización de Proxys

Generalities of Physical Area Security

• No sobrecargar los circuitos eléctricos y cordones de extensión. Asegurarse que el voltaje combinado no exceda la capacidad de los circuitos.

• Tener un extintor de fuegos tipos C.

• No utilizar ningún tipo de electrodoméstico dentro del site.

SGSI

• No tomar líquidos dentro del site.

• No fumar.

• Tener letreros de seguridad.

• No situar equipos en sitios altos para evitar caídas. No colocar equipos cerca de ventanas.

Logical and Confidential Security

• Logical Security is focused in provide a serie of controls with the objective of asurrance an information asset.

• Example of Logical Control is a paper motion (trade) when a user must do for obtaining a product or service in the company.

Sistema de Gestión de Seguridad de la Información

Criptography• Es un control de seguridad enfocado en la

confidencialidad e integridad de la información.

• Consiste en cambiar un mensaje original por otro con la finalidad de que dicho mensaje no pueda ser modificado o visualizado de forma sencilla.

• El criptoanálisis estudia el proceso de descifrar los mensajes poniéndolos en su forma original, o bien tratando de romper la seguridad.

Criptografía• Existen varios algoritmos de cifrado cayendo

en el área de simétricos y asimétricos.

• ¿Qué diferencia existente entre ellos?

• En los simétricos la misma clave se utiliza para cifrar y descifrar el mensaje. En los asimétricos se utilizan llaves distintas siendo el esquema más generalizado el PKI (Public Key Infrastructure)

Cesar Ciphred• Consist in the transposition of n positions of

character in the alphabet.

• For example:

• Plain Text: Hola mundo

• K = 3

• Cipher Text: Krod pxqgr

• Es un cifrado sencillo del tipo simétrico.

Problem• A message crypted from terrorisms was

intercepted by some students of Instituto Tecnologico de Morelia.

• Your mission is decrypted the next cipher text using an analysis of character frecuencies.

• The first student whose break the message has 100, second 95, third 90, etc. 5 points less in each place.

Problem• Cipher Text:

Staff Security

• It’s important guaranted the security of all the members of a company.

• Physical security is extremely important in organisations which have business process with high risk. For example a helmet in the building business.

• All controls include a business regularization for using with employees and how can they must use the enterprise resources

Security Assesment Examples• We present some study cases in Security

Assesment. The object is obtain competences in this field.

Ejercicio 2

• Entre los incidentes más recientes en el Hospital Santa Cecilia se cuentan los siguientes:

• Se han detectado numerosos equipos a los cuales los empleados le han instalado aplicaciones como “Hotbar” y “Messenger Plus”. Otros tienen instalados utilerías que les permiten ver la temperatura de la ciudad en su desktop. Sin embargo, estas aplicaciones son “shareware” y no están soportadas.

Ejercicio 2• Se han reportado clientes del hospital

notificando la recepción de un mail con una liga que les solicita la actualización de los datos para ingresar al portal del Laboratorio. El hospital nunca ha enviado mensajes de ese tipo.

• Su portal de banca electrónica estuvo sobrecargado durante dos días imposibilitando a sus clientes acceder al mismo.

Ejercicio 2• Existe software no licenciado instalado en los

equipos del hospital.

• Un empleado de sistemas fue despedido y en represalia copió el archivo de contraseñas de acceso al sistema de información de pacientes.

• Se detectó virus en diversos equipos a pesar de contar con software antivirus instalado.

Ejercicio 2

• Se han detectado accesos no autorizados a los sistemas.

• ¿Qué eventos de los explicados en la sesión han afectado al hospital?

• ¿Con base en tu experiencia que harías para corregir esta situación?

Ejercicio 3• Identifica qué principio y activo es el más

importante para cada una de las siguientes organizaciones. Justifica tu respuesta.

• Secretaría de Hacienda

• Ejército

• Empresa farmacéutica

• Amazon.com

• Sistema de Escolar de una Universidad

Ejercicio 3

• Sistema de emergencias telefónica 066

• Su equipo de cómputo personal.

• Banco

• Carrier de telecomunicaciones.

• Coca Cola.

Ejercicio 4

• La empresa Alfa-2030 ha estado trabajando en los últimos años desarrollando servicios on-line de seguros de todo tipo para empresas. Su negocio está basado en transacciones en Internet a través de su portal de Internet donde los clientes realizan todas sus transacciones como contratación de los seguros, pagos electrónicos en línea, renovaciones, reclamaciones, cancelaciones, etc.

Ejercicio 4

• Esta empresa ha experimentado desde hace meses ciertos incidentes en materia de seguridad de información, que a continuación se describen:

• Recién se ha creado el equipo de seguridad de información de la empresa, sus procesos operativos de Seguridad son incipientes (respaldos de información, manejo de capacidad, controles de acceso lógico, etc.).

Ejercicio 4

• La tecnología para proteger la seguridad de información ha estado poco ausente de hecho este equipo de Seguridad ha iniciado con planes de adquirir tecnologías.

• El presidente de la empresa ha solicitado a un experto en seguridad de información que estime los riesgos para cada una de las siguientes amenazas:

Ejercicio 4

• Acceso no autorizado a la información de los clientes.

• Software malicioso que afecte a los principales sistemas de la empresa

• Denegación de servicios a su portal de Internet

Ejercicio 4

• A partir del caso anterior, escriba un reporte donde determine los riesgos (niveles) para cada una de las amenazas descritas, tendrá que justificar sus respuestas en cuanto a describir las vulnerabilidades y sus impactos.

• De manera adicional, escriba un reporte, donde mencionen al menos 5 controles de Seguridad de información que mitiguen las amenazas descritas en este caso. 

Ejercicio 5

• La empresa Alfa-2030 ha decidido iniciar con un programa formal de Seguridad de información como una función importante y su propio presupuesto en la organización, Ricardo Aranguren ha sido nombrado como Director de Seguridad de Información dependiendo en forma directa de la Dirección General, de momento sólo se la ha asignado a tres personas para esta nueva función.

Ejercicio 5

• Lo primero que la dirección genera le ha solicitado al Director de seguridad de información es establecer una política específica del uso del e-mail dado que han ocurrido últimamente incidentes en el mismo tales como virus y gusanos que han causado pérdidas al negocio, además hay personal que al parecer abusa de este servicio haciendo mal uso del mismo.

Ejercicio 5• Escribe un reporte con está política especifica

con un mínimo de 6 párrafos (cuerpo de la política). Asegúrate que este documento contenga estas secciones:

• Antecedentes

• Objetivo

• Cuerpo del documento

• Responsabilidades

• Definición de términos

Ejercicio 6

• La empresa Alfa-2030 ha estado trabajando en los últimos años desarrollando servicios on-line de seguros de todo tipo para empresas. Su negocio está basado en transacciones en Internet a través de su portal de Internet donde los clientes realizan todas sus transacciones como contratación de los seguros, pagos electrónicos en línea, renovaciones, reclamaciones, cancelaciones, etc.

Ejercicio 6

• El Director general ha solicitado realizar un plan de trabajo para desarrollar los procedimientos operativos de Seguridad de información para su portal de Internet.

• Se debe realizar un reporte que seleccione la prioridad del desarrollo de los siguientes procedimientos operativos (justifiquen su respuesta):

Ejercicio 6

• Procedimientos de respaldos de Información

• Procedimientos de control de acceso lógico a la información

• Procedimientos de control de cambios

• Procedimientos de control de software malicioso

Ejercicio 7• EL Hospital “El Milagro” ha estado

desarrollando actividades en el medio por más de 5 años, el director del Hospital le ha llamado a un equipo especializado en seguridad de información debido a que se ha sentido frustrado por haber invertido mucho dinero en seguridad de información sin tener resultados positivos.

• EL director en una entrevista mencionó lo siguiente (en resumen):

Ejercicio 7• El área de seguridad depende del área de

redes

• Al parecer nunca le alcanza al Hospital el dinero que se solicita para inversiones en el área de seguridad.

• Los usuarios de los sistemas de información tienen la impresión que la función de seguridad nunca los ha tomado en cuenta.

Ejercicio 7• El gasto de inversión en equipos de seguridad

como Firewalls, licencias de antivirus, detectores de intrusos, etc. se ha disparado.

• Al parecer estos equipos no han sido efectivos dado que han ocurrido incidentes de Seguridad y no se ha protegido al Hospital de estos impactos causados.

• Hace poco un auditor externo mencionó que no vio ningún procedimiento operativo de seguridad.

Ejercicio 7

• El encargado de redes batalla mucho para que le apruebe los proyectos el Hospital dado que el lenguaje que usa es muy técnico.

• Realizar un comentario que brinde consejos al Director General para poder ir armando la estrategia de la función de Seguridad de Información, favor de justificar sus respuestas.

Ejercicio 7

• De manera adicional se deben realizar las siguientes actividades:

• Visión de seguridad de información (a 5 años) • Misión de seguridad de información • Que dimensión será la más relevante en un

Hospital (Disponibilidad, confidencialidad, Integridad, autenticidad y no repudiación)

• Establecer 5 objetivos de seguridad de información.

Ejercicio 8

• Retomando el caso del Hospital Santa Cecilia y de acuerdo a la información proporcionada en el mismo realiza lo siguiente:

• Escribe una política de seguridad corporativa (Máximo tres párrafos).

• Identifica tres políticas específicas que consideras deben de desarrollarse.

Ejercicio 8

• Lista tres recomendaciones que harías a los empleados del hospital en cuanto a:

• Respaldo de información

• Correo electrónico

• Manejo de usuarios y contraseñas

• Uso de equipo de cómputo.

Friends and enemies: Alice, Bob, Trudy

• well-known in network security world• Bob, Alice (lovers!) want to communicate “securely”• Trudy (intruder) may intercept, delete, add messages

securesender

securereceiver

channel data, control messages

data data

Alice Bob

Trudy

30.87

Figure 30.1 Cryptography components

30.88

Figure 30.2 Categories of cryptography

30.89

Figure 30.3 Symmetric-key cryptography

30.90

Figure 30.4 Asymmetric-key cryptography

30.91

Figure 30.5 Keys used in cryptography

30.92

Figure 30.6 Comparison between two categories of cryptography

30.93

Figure 30.7 Traditional ciphers

Symmetric key cryptography

substitution cipher: substituting one thing for another– monoalphabetic cipher: substitute one letter for another

plaintext: abcdefghijklmnopqrstuvwxyz

ciphertext: mnbvcxzasdfghjklpoiuytrewq

Plaintext: bob. i love you. alice

ciphertext: nkn. s gktc wky. mgsbc

E.g.:

Q: How hard to break this simple cipher?: brute force (how hard?) other?

Symmetric key crypto: DES

DES: Data Encryption Standard• US encryption standard [NIST 1993]• 56-bit symmetric key, 64-bit plaintext input• How secure is DES?

– DES Challenge: 56-bit-key-encrypted phrase (“Strong cryptography makes the world a safer place”) decrypted (brute force) in 4 months

– no known “backdoor” decryption approach• making DES more secure:

– use three keys sequentially (3-DES) on each datum– use cipher-block chaining

Figure 30.13 DES

Figure 30.16 Triple DES

8: Network Security 8-98

Public key cryptography

symmetric key crypto• requires sender,

receiver know shared secret key

• Q: how to agree on key in first place (particularly if never “met”)?

public key cryptography radically different

approach [Diffie-Hellman76, RSA78]

sender, receiver do not share secret key

public encryption key known to all

private decryption key known only to receiver

8: Network Security 8-99

Public key cryptography

plaintextmessage, m

ciphertextencryptionalgorithm

decryption algorithm

Bob’s public key

plaintextmessageK (m)

B+

K B+

Bob’s privatekey

K B-

m = K (K (m))B+

B-

8: Network Security 8-100

Digital Signatures

cryptographic technique analogous to hand-written signatures.

• sender (Bob) digitally signs document, establishing he is document owner/creator.

• verifiable, nonforgeable: recipient (Alice) can prove to someone that Bob, and no one else (including Alice), must have signed document

8: Network Security 8-101

Digital Signatures

simple digital signature for message m:• Bob “signs” m by encrypting with his private key

KB, creating “signed” message, KB(m)--

Dear Alice

Oh, how I have missed you. I think of you all the time! …(blah blah blah)

Bob

Bob’s message, m

public keyencryptionalgorithm

Bob’s privatekey

K B-

Bob’s message, m, signed (encrypted) with his private key

K B-(m)

8: Network Security 8-102

Digital Signatures (more)

• suppose Alice receives msg m, digital signature KB(m)

• Alice verifies m signed by Bob by applying Bob’s public key KB to KB(m) then checks KB(KB(m) ) = m.

• if KB(KB(m) ) = m, whoever signed m must have used

Bob’s private key.

+ +

-

-

- -

+

Alice thus verifies that: Bob signed m. No one else signed m. Bob signed m and not m’.

non-repudiation: Alice can take m, and signature KB(m) to court and prove

that Bob signed m. -

8: Network Security 8-103

Public Key Certification

public key problem:• When Alice obtains Bob’s public key (from web site, e-

mail, diskette), how does she know it is Bob’s public key, not Trudy’s?

solution:• trusted certification authority (CA)

8: Network Security 8-104

Certification Authorities

• Certification Authority (CA): binds public key to particular entity, E.

• E registers its public key with CA.– E provides “proof of identity” to CA. – CA creates certificate binding E to its public key.– certificate containing E’s public key digitally signed by CA: CA

says “This is E’s public key.”

Bob’s public

key K B+

Bob’s identifying informatio

n

digitalsignature(encrypt)

CA private

key K CA-

K B+

certificate for Bob’s public

key, signed by CA

-K CA(K ) B

+

8: Network Security 8-105

Certification Authorities

• when Alice wants Bob’s public key:

– gets Bob’s certificate (Bob or elsewhere).– apply CA’s public key to Bob’s certificate,

get Bob’s public key

Bob’s public

key K B+

digitalsignature(decrypt)

CA public

key K CA

+

K B+

-K CA(K ) B

+

8: Network Security 8-106

A certificate contains:

• Serial number (unique to issuer)• info about certificate owner, including algorithm and

key value itself (not shown) info about

certificate issuer

valid dates digital

signature by issuer

8: Network Security 8-107

Pretty good privacy (PGP)

• Internet e-mail encryption scheme, de-facto standard.

• uses symmetric key cryptography, public key cryptography, hash function, and digital signature as described.

• provides secrecy, sender authentication, integrity.

• inventor, Phil Zimmerman, was target of 3-year federal investigation.

---BEGIN PGP SIGNED MESSAGE---Hash: SHA1

Bob:My husband is out of town tonight.Passionately yours, Alice

---BEGIN PGP SIGNATURE---Version: PGP 5.0Charset: noconvyhHJRHhGJGhgg/

12EpJ+lo8gE4vB3mqJhFEvZP9t6n7G6m5Gw2

---END PGP SIGNATURE---

A PGP signed message:

Cryptanalysis• Some common symmetric-key cryptographic

algorithms.

RSA• An example of the RSA algorithm.

Communication Security

• IPsec

• Firewalls*

• Virtual Private Networks

• Wireless Security

• SSL

802.11 Security• Packet encryption using WEP.

Security Control Classification

• Check ISO 17799 – 27001

• Physical

• Logical

• Technical (Access Control / Network Security)

What’s this?• Codification:

• .- ..- -.. .. - --- .-. .. .- / .. -. ..-. --- .-. -- .- - .. -.-. .- /

Data and Software Application Security

• The data security is the most important in all organizations. Data security only can be achived with software security.

• One kind of software security is oscurantism. This mechanism consist of hidden information. For example a Web server runs in 80 TCP Port but we can configure in other port. Open Source code is other better example of these.

Oscurantism• It’s very important don’t use default settings.

For example in a computer network (IP Addresses) can be in 192.168.1.0/24.

• Some services executed with pre-setting configuration like MySQL server, user root and password in blank.

• A logical control and access control must be required for a correct secuirty of data.

Competence 2• Setup a service with oscurastims (no only

change port) and non defult-settings configurations.

Control for Software Applications Assesment

Control for avoiding crime and informatic frauds

Contingency Plan, Insurance, Procedures of Backup Disasters

Techniques and Tools related with physical and staff security.

Techniques and Tools related with data and software application security.

Referencias

• Morales, R. (2008) Curso de Seguridad Informática, SI040001, ITESM.

• González, H. (2008), Curso de Seguridad Informática II, UNID Sede Morelia.

Referencias

• Date, C. (2001) Introducción a los Sistemas de Bases de Datos, Séptima edición, Capítulo 16 Seguridad, Pearson Educación, pp. 504-536.

• McPherson, F. (2005), Pocket PC a su Alcance, 3ra. Edición, McGraw-Hill, México, 2005, ISBN: 970-10-4731-1.

Referencias

• Elmasri, R. y Navathe S. (2000) Sistemas de Bases de Datos, 2da. Edición. Capítulo 20 Seguridad, Addison-Wesley 200, México, pp. 599-613, ISBN: 968-444-399-4.

• Tanenbaum, A. y Van Steen, M. (2007). Distributed Systems. Principles and Paradigms, Segunda edición, Capítulo 9 Seguridad, Pearson Education, Estados Unidos, pp. 377-442, ISBN: 0-13-239227-5.

referencias

• Guerrero, R. (2008). Proyecto de Comunicación Telefónica VoIP en Gobierno del Estado de Michoacán, Tesina de Titulación.

• Watters, P (2005) Solaris 10 The Complete Reference, McGraw-Hill Osborne, Estados Unidos, ISBN: 0-07-222998-5.

Referencias

• Coulouris, G., Dollimore, J. y Kindberg, T. (2001). Sistemas Distribuidos, Capítulo 7 Seguridad, pp. 235-289, ISBN: 84-7829-049-4.

• Nyhus, R. (2008). Redes y Redes Inalámbricas. PC Cuadernos, España.

• Facundo, H. (2007). Revista USERS LinuxSeguridad, número 24 pp. 24-37.

Referencias

• Froufe, A. y Jorge, P. (2004) J2ME Java 2 Micro Edition, Alfaomega Ra-Ma, México, ISBN: 970-15-1022-4.

• Millán, R. (2006). Domine las Redes P2P, Alfaomega, España, ISBN: 970-15-1206-5.

• Velte, T. (2008). Manual de Cisco, Cuarta Edición, McGraw-Hill, México, ISBN: 978-970-10-5927-2

Referencias

• Stallings, W. (2004) Comunicaciones y Redes de Computadoras, Séptima Edición, Pearson Prentice Hall, España, ISBN: 84-205-4110-9.

• Nichols, R. y Lekkas, P. (2003) Seguridad para Comunicaciones Inalámbricas, McGraw-Hill, España, ISBN: 84-481-3782-5.

• Shah, S. (2001) Manual de Administración de Linux, Osborne McGraw-Hill, España, ISBN: 84-481-2892-3

Referencias

• Gómez, A. (2007). Enciclopedia de la Seguridad Informática, Alfaomega, México, ISBN: 978-970-15-1266-1.

• McNab, C. (2004). Seguridad de Redes. Anaya Multimedia O’Reilly, España, ISBN: 84-415-1751-1

References• Senft, S. And Gallegos, F. (2008) Information

Technology Control and Audit, Third Edition, CRC Press, United States

¿Preguntas?