Scribd Logo
Upload

Welcome to Scribd!

  • Security Services: Protección de Sistemas Informáticos Ingeniería de Sistemas 2019

    Uploaded by

    Adrian
    10 views30 pages

    Original Title

    slide3-PSI

    Copyright

    © © All Rights Reserved

    Available Formats

    PDF, TXT or read online from Scribd

    Did you find this document useful?

    Is this content inappropriate?

    Report this Document

    Copyright:

    © All Rights Reserved
    Download as PDF, TXT or read online from Scribd
    Flag for inappropriate content
    10 views30 pages

    Security Services: Protección de Sistemas Informáticos Ingeniería de Sistemas 2019

    Uploaded by

    Adrian

    Copyright:

    © All Rights Reserved
    Download as PDF, TXT or read online from Scribd
    Flag for inappropriate content
    of 30

    Security services

    Protección de sistemas
    informáticos
    Ingeniería de sistemas
    2019
    Security services
    Integrity

    In lay usage, information has integrity


    when it is timely, accurate, complete,
    and consistent.
    Integrity, in terms of data and network
    security, is the assurance that
    information can only be accessed or
    modified by those authorized to do so.
    Integrity

    Measures taken to ensure integrity


    include controlling the physical
    environment of networked terminals and
    servers, restricting access to data, and
    maintaining rigorous authentication
    practices.
    Availability

    A "requirement intended to assure that


    systems work promptly and service is
    not denied to authorized users."
    Information and other critical assets
    are accessible when needed.
    The percentage of total time that a
    {network, service or system} is available
    for use
    Availability

    Note, information is unavailable not


    only when it is lost or destroyed, but
    also when access to the information is
    denied or delayed (i.e. information is
    available on a web site, but the server is
    overwhelmed by a denial of service
    attack and no one can access it).
    Confidentiality

    A requirement that private or


    confidential information not be disclosed
    to unauthorized individuals.
    Measures undertaken to ensure
    confidentiality are designed to prevent
    sensitive information from reaching the
    wrong people, while making sure that
    the right people can in fact get it.
    Authentication

    Authentication is the process of


    determining whether someone or
    something is, in fact, who or what it is
    declared to be.
    Authentication

    Authentication is a process in which the


    credentials provided are compared to
    those on file in a database of authorized
    users’ information on a local operating
    system or within an authentication
    server. If the credentials match, the
    process is completed and the user is
    granted authorization for access.
    Non-repudiation

    Nonrepudiation is the assurance that


    someone cannot deny something.
    Typically, nonrepudiation refers to the
    ability to ensure that a party to a
    contract or a communication cannot
    deny the authenticity of their signature
    on a document or the sending of a
    message that they originated.
    Privacy

    Is the right to be let alone, or freedom


    from interference or intrusion.
    Information privacy is the right to have
    some control over how your personal
    information is collected and used.
    Trust

    Trust is the ability to accurately predict


    another entity's behavior.
    Accountability

    The traceability of actions performed on


    a system to a specific system entity
    (user, process, device). For example,
    the use of unique user identification and
    authentication supports accountability;
    the use of shared user IDs and
    passwords destroys accountability.
    Authorization

    Authorization is the function of


    specifying access rights/privileges to
    resources related to information security
    and computer security in general and to
    access control in particular. More
    formally, "to authorize" is to define an
    access policy.
    Controles administrativos

    Hacen referencia a la disponibilidad


    de documentos como: políticas,
    procedimientos, instrucciones y
    registros.
    Controles administrativos

    -Políticas para el manejo de la red


    de datos
    -Personal encargado de la
    seguridad informática
    -Manejo de riesgos y documento
    de acreditación
    -Procedimientos de seguridad
    actualizados
    Controles operativos

    Hacen referencia a los


    procedimientos que sirven para
    asegurar los servicios de
    seguridad y los controles que
    aplican a la seguridad física.
    Controles operativos

    -Planes de contingencia
    -Manejo de incidentes
    -Realización de backups
    -Control de acceso físico
    -Seguridad ambiental (aire
    acondicionado, exposición al polvo)
    -Sistema contra incendios
    -Respaldo energético: UPS, plantas.
    Controles técnicos

    Hacen referencia a cualquier


    dispositivo de hardware o
    software que aseguran el
    cumplimiento de los servicios de
    seguridad.
    Controles técnicos

    -Control de acceso lógico a la


    configuración y datos de los equipos
    -Encripción y uso de protocolos seguros
    -Registro de intrusos, generación de logs
    -Esquemas de autenticación y/o para las
    conexiones
    -Firewall
    Seguridad física

    La seguridad física consiste en las


    medidas diseñadas para prevenir acceso
    físico no autorizado a los recursos del
    sistema, protegiéndolos contra daños,
    robos y modificaciones.

    Video Seguridad Física y Seguridad Informática


    Qué proteger?
    -Equipos: servidores, dispositivos de
    comunicación, estaciones de trabajo
    -Personas
    -Instalaciones: centros de cableado, centros de
    cómputo, edificios.
    -Documentación, manuales, etc.
    Quiénes causan los daños?

    -Desastres naturales: inundaciones,


    terremotos
    -Fallas accidentales: fuego, fallos en
    suministro de energía
    -Actos de delincuencia (deliberados): robos,
    atentados
    Qué daños se pueden
    causar?
    -Daño en el hardware
    -Daño en los datos almacenados
    -Interrumpir la operación de un sistema
    -Descubrimiento de información no
    autorizada
    Cómo minimizar los
    riesgos?

    -Plan de contingencia, dispositivos anti-


    incendios, extintores, etc.
    -Centros de cómputo: blindajes
    electromagnéticos y antisabotajes,
    controles ambientales
    Cómo minimizar los
    riesgos?
    Los suministros de emergencia o respaldo
    deben ser parte integral del sistema
    tecnológico: UPS (interceptan sobrecarga,
    generan un alerta a los administradores del
    sistema), generadores
    Cómo minimizar los
    riesgos?
    Los edificios o salones que alberguen
    equipos de cómputo u otros componentes
    tecnológicos deben protegerlo contra
    temperaturas extremas y contra ingreso de
    contaminantes como el polvo, la arena y el
    humo.
    Cómo minimizar los
    riesgos?
    En particular los cables de conexión de las
    redes de cómputo requieren gran seguridad.
    Entre las formas de proteger los cables contra
    la amenaza de roedores o humanos puede
    ser colocarlos dentro de ductos, tras paredes,
    bajo piso o bajo techo, instalar pisos falsos
    para permitir que los cables circulen sin
    problema.
    Cómo minimizar los
    riesgos?
    •Ubicación de la tecnología dentro de sitios seguros
    bajo llave. La tecnología moderna ofrece un amplio
    catálogo de dispositivos sofisticados que pueden
    restringir la entrada a edificios o salones solo al
    personal autorizado. Entre ellos:
    –Candados y cerrojos convencionales.
    –Cerrojos operados por códigos de acceso (mecánicos o automatizados).
    –Cerrojos operados por tarjetas con bandas magnéticas.
    –Cerrojos que reconocen rasgos físicos, como las huellas dactilares, de la mano
    o la retina.
    Cerrojos que requieren una combinación de dos o más de estos dispositivos.

    You might also like