Proteccion Y Seguridad

1.- INVESTIGAR Y DEFINIR LOS CONCEPTOS Y OBJETIVOS DE UN MECANISMO DE PROTECCIÓN

La protección es un mecanismo control de acceso de los programas, procesos o usuarios al sistema o recursos. Hay importantes razones para proveer protección. La más obvia es la necesidad de prevenirse de violaciones intencionales de acceso por un usuario. Otras de importancia son, la necesidad de asegurar que cada componente de un programa, use solo los recursos del sistema de acuerdo con las políticas fijadas para el uso de esos recursos. Un recurso desprotegido no puede defenderse contra el uso no autorizado o de un usuario incompetente. Los sistemas orientados a la protección proveen maneras de distinguir entre uso autorizado y desautorizado.

Objetivos de la Protección

Inicialmente protección del SO frente a usuarios poco confiables.

Protección: control para que cada componente activo de un proceso sólo pueda acceder a los recursos especificados, y sólo en forma congruente con la política establecida.

• La mejora de la protección implica también una mejora de la seguridad.

• Las políticas de uso se establecen:

• Por el hardware.

• Por el administrador / SO.

• Por el usuario propietario del recurso.

Principio de separación entre mecanismo y política:

Mecanismo: Con qué elementos (hardware y/o software) se realiza la protección.

Política: Es el conjunto de decisiones que se toman para especificar cómo se usan esos elementos de protección.

• La política puede variar

 Dependiendo de la aplicación,

 A lo largo del tiempo.

• La protección no sólo es cuestión del administrador, sino también del usuario.

2.-INVESTIGAR E IDENTIFICAR LAS FUNCIONES DE UN SISTEMA DE PROTECCIÓN

Dado que los sistemas de cómputo se han venido haciendo cada vez más sofisticados en sus aplicaciones, la necesidad de proteger su integridad, también ha crecido. Los aspectos principales de protección en un Sistema Operativo son:

1. Protección de los procesos del sistema contra los procesos de usuario.

2. Protección de los procesos de usuario contra los de otros procesos de usuario.

3. Protección de Memoria.

4. Protección de los dispositivos.

3.-CLASIFICAR LOS MECANISMOS DE PROTECCION

Clasificación según su función

 Preventivos: Actúan antes de que un hecho ocurra y su función es detener agentes no deseados.

 Detectivos: Actúan antes de que un hecho ocurra y su función es revelar la presencia de agentes no deseados en algún componente del sistema. Se caracterizan por enviar un aviso y registrar la incidencia.

 Correctivos: Actúan luego de ocurrido el hecho y su función es corregir las consecuencias.

4.- INVESTIGAR Y DEFINIR 3 DEFINICIONES DE SEGURIDAD INFORMÁTICA

Es el área de la informática que se enfoca en la protección de la infraestructura computacional y todo lo relacionado con esta (incluyendo la información contenida). Para ello existen una serie de estándares, protocolos, métodos, reglas, herramientas y leyes concebidas para minimizar los posibles riesgos a la infraestructura o a la información. La seguridad informática comprende software, bases de datos, metadatos, archivos y todo lo que la organización valore (activo) y signifique un riesgo si ésta llega a manos de otras personas. Este tipo de información se conoce como información privilegiada o confidencial.

Es una disciplina que se relaciona a diversas técnicas, aplicaciones y dispositivos encargados de asegurar la integridad y privacidad de la información de un sistema informático y sus usuarios. Técnicamente es imposible lograr un sistema informático ciento por ciento seguros, pero buenas medidas de seguridad evitan daños y problemas que pueden ocasionar intrusos.

Asegurar que los recursos del sistema de información (material informático o programas) de una organización sean utilizados de la manera que se decidió y que la información que se considera importante no sea fácil de acceder por cualquier persona que no se encuentre acreditada.

5.- ESCRIBE LOS PRINCIPALES OBJETIVOS DE SEGURIDAD DEL SW

Integridad: Garantizar que los datos sean los que se supone que son.

Confidencialidad: Asegurar que sólo los individuos autorizados tengan acceso a los recursos que se intercambian

Disponibilidad: Garantizar el correcto funcionamiento de los sistemas de información

Evitar el rechazo: Garantizar de que no pueda negar una operación realizada.

Autenticación: Asegurar que sólo los individuos autorizados tengan acceso a los recursos

6.-INVESTIGAR Y DEFINIR LOS ESTÁNDARES (NORMAS) DE SEGURIDAD INFORMÁTICA PARA MÉXICO

ISO/IEC 27001 – ISO/IEC 17799?

• British Standard 7799 Parte 1 – Es un código de mejores prácticas que se sugieren: “....deberían...”

• ISO/IEC 17799-2000 – Basado en la BS 7799 Parte 1.

– No hay una certificación.

– 10 Áreas de Control

– 36 Objetivos de Control

– 127 Controles

ISO/IEC 27001 – ISO/IEC 17799?

• British Standard 7799 Parte 2 – Aporta conceptos de implantación obligatorios para certificar: “...deben...”

– Requisitos para Sistemas de Gestión de Seguridad de la información.

– Vinculada con la BS 7799-1 (ISO/IEC 17799)

– Proceso de Evaluación para Certificación.

– Obsoleta.

ISO/IEC 27001.

– Basada en la BS 7799:2

Versiones actuales:

– ISO/IEC 17799:2005 / ISO/IEC 27001: 2005

ISO/IEC 17799:2000

• 10 Áreas de Control

– Política de Seguridad

– Aspectos organizativos para la seguridad

– Clasificación y control de los activos

– Seguridad ligada al personal

– Seguridad física y del entorno

– Gestión de comunicaciones y operaciones

– Control de accesos

– Desarrollo y mantenimiento de sistemas

– Gestión de continuidad del negocio

– Conformidad

Certificados BS 7799-2 / ISO/IEC 27001

• 2800 Empresas Certificadas a nivel mundial.

– 1800 en Japón.

– 415 Reino Unido

– 11en Brasil.

– 3 en Argentina.

• Certificación ISO/IEC 27001.

– Implica la misma certificación, por parte de organismos locales a nivel mundial.

– Es razonable considerar un crecimiento equiparable al de normas ISO ya existentes.

7.- IDENTIFICAR LAS AMENAZAS Y VULNERABILIDAD DE LOS SISTEMAS COMPUTACIONALES E INFORMÁTICOS

Amenazas

...