Introducció a la Seguretat Informàtica

De wikijoan
La revisió el 22:19, 25 set 2011 per Joan (discussió | contribucions) (→‎Complement powerpoint)
(dif) ← Versió més antiga | Versió actual (dif) | Versió més nova → (dif)
Salta a la navegació Salta a la cerca

Teoria Seguretat Informàtica

Els tres elements bàsics de la Seguretat Informàtica són:

  • Confidencialitat: els components del sistema només seran accessibles pels usuaris autoritzats.
  • Integritat: els components del sistema només poden ser creats i modificats pels usuaris autoritzats.
  • Disponibilitat: els usuaris han de tenir disponibles tots els components del sistema quan així ho desitgin.

Llegir i comentar a classe el capítol sobre Seguretat Informàtica:

Seguridad informática

    * Política de seguridad
    * Definición
          o Definición de necesidades
    * Implementación
          o Implementación
    * Validación
          o Auditorías de seguridad
          o Prueba de intrusión
    * Detección
          o Detección de incidentes
    * Reacción
          o Reacción ante incidentes

EAR/PILAR. Entorn d'Anàlisi de Riscos

EAR / PILAR - Entorno de Análisis de Riesgos. És una eina comercial patrocinada pel CCN i que s'està implantant en les Administracions Públiques. EAR/PILAR s'ha desenvolupat sota l'auspici del CCN-CERT (Centro Criptológico Nacional, Computer Emergency Response Team), que alhora depèn del CNI (Centro Nacional de Inteligencia), que depèn del Ministeri de Defensa.

Las herramientas EAR soportan el análisis y la gestión de riesgos de un sistema de información siguiendo la metodología Margerit. Magerit.gif

Explicació de la imatge:

Los activos están expuestos a amenazas que, cuando se materializan, degradan el activo, produciendo un impacto. Si estimamos la frecuencia con que se materializan las amenazas, podemos deducir el riesgo al que está expuesto el sistema. Degradación y frecuencia califican la vulnerabilidad del sistema.

El gestor del sistema de información dispone de salvaguardas, que o bien reducen la frecuencia de ocurrencia, o bien reducen o limitan el impacto. Dependiendo del grado de implantación de estas salvaguardas, el sistema pasa a una nueva estimación de riesgo que se denomina riesgo residual.

PILAR dispone de una biblioteca estándar de propósito general, y es capaz de realizar calificaciones de seguridad respecto de normas ampliamente conocidas como son:

  • Esquema Nacional de Seguridad.
  • ISO/IEC 27002:2005.

Esta publicación del Ministerio de Administraciones Públicas (MAP), recoge los requisitos fundamentales de la seguridad informática, de cara a garantizar la integridad, la confidencialidad y la disponibilidad de los Sistemas de Información.

En el contingut de la guia destaquen els següents apartats:

  • Gestión global de la seguridad de la información
  • Política de seguridad
  • Organización y planificación de la seguridad
  • Análisis y gestión de riesgos
  • Identificación y clasificación de activos a proteger
  • Salvaguardas ligadas al personal
  • Seguridad física
  • Autenticación
  • Confidencialidad
  • Integridad
  • Disponibilidad
  • Control de acceso
  • Acceso a través de redes
  • Firma electrónica
  • Protección de soportes de información y copias de respaldo
  • Desarrollo y explotación de sistemas
  • Gestión y registro de incidencias
  • Plan de contingencias
  • Auditoría y control de seguridad

Metodologia Margerit

Desenvolupat pel Consejo Superior de Informática del Ministerio de Administraciones Públicas de España. La metodología MARGERIT (Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información). 1997

Es una metodología de análisis y gestión de riesgos de los sistemas de información de las administraciones públicas, emitida en el año 1997 por el consejo superior de informática y recoge las recomendaciones de las directivas de la Unión Europea en materia de seguridad de sistemas de información, esta metodología presenta un objetivo definido en el estudio de los riesgos que afectan los sistemas de información y el entorno de ellos haciendo unas recomendaciones de las medidas apropiadas que deberían adoptarse para conocer, prevenir, evaluar y controlar los riesgos investigados. Margerit desarrolla el concepto de control de riesgos en las guías de procedimientos, técnicas, desarrollo de aplicaciones, personal y cumplimiento de normas legales.

Checklist de seguretat per al desenvolupament de llocs web

exemple de checklist Guía para el Desarrollo de Sitios Web (Govern de Xile):

Riscos i Mesures de Seguretat

III RIESGOS y MEDIDAS de SEGURIDAD
 ·Auditoría de redes
 ·Diagnósticos de PC

»Errores humanos
 ·Evitar errores
 ·Machacar ficheros

»Fallos equipos
 ·Copias seguridad y rotacion cintas
 ·Software de Backup

»Robo
 ·Check list
 ·Firewall
 ·Antirobo internet

»Virus
 ·Antivirus
 ·Centinelas

»Sabotaje
 ·Espías
 ·Contraseñas ocultas en asteriscos
 ·Registro de uso y auditoría

»Fraude
 ·Direcciones de correo fraudulentas

»Desastres naturales

Complement powerpoint

Libro Electrónico de Seguridad Informática y Criptografía. Versión 4.1 de 1 de marzo de 2006.

Altres Powerpoints:

  • www.satinfo.es/archivo/soporte/SOPORTE_seguridad-web.ppt
  • www.dma.eui.upm.es/conferencias/contenido/seguridad_infor.pdf

creat per Joan Quintana Compte, setembre 2011