FUNDACION UNIVERSITARIA TECNOLOGICO DE COMFENALCO Diplomado de Seguridad Informtica

ANEXO: Confidencialidad

Confidencialidad de la informacin Los recursos (hardware, software, datos) son accesibles slo a usuarios procesos autorizados. Es la propiedad de la informacin, por la que se garantiza que est accesible nicamente a personal autorizado a acceder a dicha informacin.

Confidencialidad de la Informacin 1. Ataques a la confidencialidad de la informacin 2. Controles para garantizar la confidencialidad Ataques contra la Confidencialidad de la Informacin 1. Acceso no autorizado a los archivos, sistemas de informacin bases de datos 2. Acceso remoto no autorizado 3. Sniffing 4. Keylogger Ataques contra la Confidencialidad de la Informacin

Acceso no autorizado a los archivos, sistemas de informacin bases de datos Errores o mala configuracin de los mecanismos de autorizacin y autenticacin permiten el acceso a usuarios no autorizados a archivos en servidores y computadores personales. Acceso remoto no autorizado Errores o mala configuracin de los mecanismos de autorizacin y autenticacin de la red permiten el acceso remoto a usuarios no autorizados a archivos en servidores y computadores personales.

Sniffing: intercepcin del trfico de la red en busca de contraseas e informacin sensible, mediante sniffers

Sniffer: Rastreadores, analizadores de protocolos. Detectar intrusos, trfico anormal Hacking: Obtener informacin-Ataque pasivo Herramienta: Wireshark(antes Ethereal)

Keylogger: del ingls: key (tecla) y logger (registrador); Combinacin de hardware y software que se encargan de capturar todas las pulsaciones que se realizan en el teclado, y almacenarlas en un archivo. Controles para preservar la Confidencialidad de la Informacin 1. 2. 3. 4. Autenticacin Autorizacin Clasificacin de la informacin Encripcin de la informacin (Ciframiento)

Autenticacin

Proceso apoyado en mecanismos para confirmar a alguien (usuario, proceso) como autntico. Garantizar la identidad de quien solicita acceso a los recursos (hardware, software, informacin) Mecanismos: usuario/contrasea, dispositivos biomtricos, certificados digitales

Mecanismos de autenticacin

Algo Algo Algo Algo

que que que que

usted usted usted usted

conoce (clave) tiene (token, smartcard) es (dispositivos biomtricos) produce (firma, voz)

Factores de autenticacin

Niveles de autenticacin es la cantidad de mecanismos o formas utilizadas en un proceso de autenticacin de usuarios. Existen varios factores niveles de autenticacin: o Factor 1 (clave o password) o Factor 2 (clave, token) o Factor 3 (clave, tarjetas magnticas (token), biomtrico)

Contraseas

Definir contraseas fuertes: longitud apropiada Combinacin letras, nmeros, minsculas, maysculas, espaciales No escribirlas Usar algoritmo para generarlas Evitar ataques de diccionario y de fuerza bruta

caracteres

Dispositivos biomtricos

Autenticacin de usuarios basados en sus caractersticas nicas, propias de cada usuario. Porcentaje alto de confiabilidad Huellas dactilares o palma de la mano Escaneo de iris, retina Geometra de la mano o facial Voz25

Problemas:

Costo elevado de los dispositivos Algunos son intrusivos Administracin engorrosa y almacenamiento voluminoso de patrones e comparacin. Mala o deficiente configuracin de los dispositivos, genera: o Falsos positivos: usuarios son aceptados como vlidos sin serlos o Falsos negativos: usuarios vlidos son rechazados

Autorizacin

Los recursos son accedidos slo por los usuarios que renen los permisos necesarios para ello. El proceso de autorizacin se usa para decidir si la persona, programa o dispositivo tiene permisos para acceder al dato, funcionalidad o servicio.

Mecanismos

Permisos sobre directorios y archivos Perfiles de usuario Por medio de matrices funciones y permisos se disean los permisos y se implementan en perfiles. ACL Listas de control de acceso: son para establecer los permisos de acceso a un determinado objeto, su principal en dispositivos de red. Firewall