SlideShare ist ein Scribd-Unternehmen logo

Tema 3. Arquitectura y diseño de seguridad

Francisco Medina
Francisco Medina

Materia: Seguridad Informática

Bildung
1 von 63
Downloaden Sie, um offline zu lesen
Seguridad Informática Tema 3. Arquitectura y diseño de seguridad Francisco Medina López – paco.medina@comunidad.unam.mx Facultad de Contadurı́a y Administración Universidad Nacional Autónoma de México 2022-1
Temario 1 Arquitectura de Computadoras 2 Mecanismos de protección 3 Modelos formales de seguridad 4 Guı́as de Evaluación 5 Certificación y Acreditación
Temario 1 Arquitectura de Computadoras 2 Mecanismos de protección 3 Modelos formales de seguridad 4 Guı́as de Evaluación 5 Certificación y Acreditación
Arquitectura El estándar TOGAF define a la arquitecture como: Definición La estructura de los componentes, sus interrelaciones y los principios y directrices que rigen su diseño y evolución en el tiempo. Dominios: 1 Arquitectura de negocio: define la estrategia empresarial, la gobernanza, la organización y los procesos empresariales clave. 2 Arquitectura de datos: describe la estructura de los activos de datos lógicos y fı́sicos de una organización y los recursos de gestión de datos. 3 Arquitectura de aplicación: proporciona las directrices para el desarrollo e implementación de las aplicaciones. 4 Arquitectura tecnológica: describe al software y hardware que se requiere para respaldar la implementación de servicios y aplicaciones; esto incluye infraestructura de TI, middleware, redes, comunicaciones, procesamiento, estándares, etc.
Arquitectura de seguridad Definición Diseño de alto nivel de un sistema desde una perspectiva de seguridad, es decir, cómo los controles de seguridad fueron seleccionados e implementados dentro del sistema. Considera: • Ciclo de vida de un sistema, desde su concepción hasta su retiro. • Cómo se organizan los usuarios, los datos y los servicios para garantizar que las interacciones potenciales de mayor riesgo estén protegidas por los mecanismos de seguridad simples y autónomos.
Pasos para el diseño de la arquitectura de seguridad 1 Revisar el uso propuesto del sitema. • Identificar las interacciones entre los usuarios, los datos y los servicios del sistema. • Gestionar el riesgo. • Identificar requisitos externos tales como el cumplimiento (compliance) y obligaciones contractuales. 2 Agrupar a los usuarios y los datos en categorı́as amplias utilizando los requisitos de acceso a los roles, junto con la clasificación formal de los datos y la autorización del usuario.
Principios de Arquitectura de Seguridad I 1 Economia del mecanismo. El diseño de los controles de seguridad debe ser lo más simple posible para garantizar una alta seguridad. 2 Fail-safe defaults. Los controles de seguridad deben permitir operar el sistema de acuerdo a la polı́tica de seguridad y rechazar cualquier otra operación. 3 Mediación completa. Todas las operaciones en todos los objetos de un sistema deben verificarse para asegurarse que cumplen con la polı́tica de seguridad. 4 Diseño abierto. La seguridad del control no debe depender del secreto de su funcionamiento, sino únicamente de contraseñas o secretos bien especificados.
Principios de Arquitectura de Seguridad II 5 Seperación de privilegio. Los controles de seguridad que dependen de varios sujetos para autorizar una operación, brindan mayor seguridad que aquellos que dependen de un solo sujeto. 6 Mı́nimo privilegio. Los sujetos y las operaciones que realizan en un sistema deben realizarse con el mı́nimo privilegio posible. 7 Least common mechanism. Es preferible minimizar el uso compartido de recursos y sistemas entre diferentes partes. 8 Psicológicamente aceptable. El control de seguridad debe ser utilizable de forma natural para que los usuarios los utilicen ”de forma rutinaria y automática”.
Modelo MAPE-K
Componentes tecnológicos de ciberseguridad
Temario 1 Arquitectura de Computadoras 2 Mecanismos de protección 3 Modelos formales de seguridad 4 Guı́as de Evaluación 5 Certificación y Acreditación
Mecanismos de protección Definición Cualquier tipo de elemento tecnológico que permita identificar, proteger, detectar, responder o minimizar el riesgo asociado con la ocurrencia de una amenaza especı́fica. Objetivo: • Reducir los efectos producidos por las amenazas de seguridad (threats) y vulnerabilidades (vulnerabilities) a un nivel tolerable para una organización.
Cyberscape Enlace
Soluciones de seguridad (2) Categorı́as: • Advanced Threat Protection, ICS + OT, NAC, SDN, DDoS Protection, DNS Security, Network Firewall, SASE, Deception, Network Analysis & Forensics.
Magic Quadrant for Endpoint Protection Platforms
ICS + OT Definición Sistema de control industrial (ICS) es un término general que abarca varios tipos de sistemas de control e instrumentos asociados utilizados para el control de procesos industriales. Definición La tecnologı́a operativa (OT) se refiere a los sistemas informáticos que se utilizan para gestionar las operaciones industriales, incluyen gestión de la lı́nea de producción, control de operaciones mineras, monitoreo de petróleo y gas, . . . [8]
Magic Quadrant for Industrial IoT Platforms
Control de aceso a la red (NAC) Definición Network Access Control (NAC) es una tecnologı́a que permite controlar de forma muy granular qué dispositivos pueden acceder a la red, permitiendo establecer polı́ticas de gestión de los dispositivos, tanto fijos como móviles, e integrar polı́ticas BYOD.
Fases implementación NAC
Redes definidas por software (SDN) Definición Las redes definidas por software (SDN) representan un enfoque en el que las redes utilizan controladores basados en software o interfaces de programación de aplicaciones (API) para dirigir el tráfico en la red y comunicarse con la infraestructura de hardware subyacente. [9] 1 Este enfoque es distinto al de las redes tradicionales, que utilizan dispositivos de hardware dedicados (enrutadores y conmutadores) para controlar el tráfico de la red. 2 Una SDN puede crear y controlar una red virtual o controlar una red de hardware tradicional mediante el software.
Arquitectura SDN
Protección contra DDoS Tecnologı́as para protección contra DDoS:[10] 1 Scrubbing centers 2 CDNs 3 CSPs y proveedores de hosting 4 IaaS
Scrubbing center Definición Cento de datos centralizado donde se analiza y elimina el tráfico malicioso (ddos, vulnerabilidades conocidas y exploits). Enlace . • Utilizados por grandes empresas, como ISP y proveedores de nube. • Cuando una organización está bajo ataque, el tráfico se redirige (normalmente mediante DNS o BGP) al centro de depuración, donde un sistema de mitigación de ataques elmina el tráfico malicioso y devuelve tráfico limpio a la red para su entrega.
Firewall de Red Definición Un firewall de red es un sistema o una combinación de sistemas que impone una barrera entre dos o más redes que por lo regular forman una división entre un ambiente seguro y una abierto, como Internet. Figura: El Firewall y los ambientes de seguridad Moraes, Alexandre M. S. P. Cisco Firewalls, Cisco Press, P 6.
Magic Quadrant for Network Firewalls
Secure Access Service Edge (SASE) Definición Un perı́metro de servicio de acceso seguro (SASE) es una arquitectura de red que combina capacidades de VPN y SD-WAN con funciones de seguridad nativas de la nube, como puertas de enlace web seguras, agentes de seguridad de acceso a la nube, firewall y acceso a la red de confianza cero. Enlace • Estas funciones se entregan desde la nube y el proveedor de SASE las proporciona como un servicio.
Arquitectura SASE
Magic Quadrant for WAN Edge Infrastructure
Engaño (Deception) Definición Tecnologı́as que permiten desplegar múltiples trampas y señuelos en una red, utilizando un camuflaje que aparenta equipos o recursos reales, con el fin de que los atacantes los rastreen, ataquen, e incluso los vulneren, pensando que están logrando comprometer a la organización. Los objetivos que se buscan son: 1 Obtener información valiosa acerca de las técnicas y artefactos que están utilizando los atacantes, ası́ como de sus posibles objetivos y métodos, proporcionando inteligencia accionable a los equipos de ciberseguridad para actuar de manera más oportuna y eficiente. 2 Retrasar, distraer o frustrar las actividades de los atacantes, sobre todas aquellas asociadas con el reconocimiento y los movimientos laterales.
¿Para que es usan las tecnologı́as del Engaño?
Hype Cycle for Network Security
Hype Cycle for Security Operations
Temario 1 Arquitectura de Computadoras 2 Mecanismos de protección 3 Modelos formales de seguridad 4 Guı́as de Evaluación 5 Certificación y Acreditación
Modelos formales de Seguridad “Los modelos de seguridad son un concepto importante en el análisis y diseño de sistemas de cómputo seguro” . • Provee un marco de refrencia dentro del cual puede ser implementada una polı́tica de seguridad. • Define los lineamientos necesarios para implementar y soportar la polı́tica de seguridad. • Provee los lineamientos y directivas que deben cumplir los desarrollos de hardware y software, motivo por el cual solemos referirnos a estos como la representación simbólica de una polı́tica de seguridad en un conjunto de reglas que pueden ser seguidas por una computadora.
Polı́tica vs Modelo de Seguridad Mientras que una polı́tica de seguridad es generalmente un conjunto de directivas o intenciones abstractas, un modelo de seguridad representa exactamente el modo en el cual la polı́tica deberı́a ser implementada. Las polı́ticas de seguridad proveen los objetivos abstractos y el modelo de seguridad provee las reglas necesarias para cumplir con dichos objetivos.
Implementación En la actualidad, los modelos formales de seguridad han quedado algo relegados respecto de la cambiante dinámica de negocios con la cual convivimos a diario. Siendo rigoristas, si bien los mismos aún permiten establecer parámetros generales, a nivel práctico solo pueden ser implementados parcialmente. Conceptos tales como: Firewall, Troyanos o Worms, no se encuentran contemplados en los denominados modelos formales
Bell-Lapadula Definición • Orientado a mantener la confidencialidad. • Reglas de Operación: • simple-rule (no read up) = espionaje • *-rule (no write down) = divulgación • strong-*-rule : si se posee la capacidad de read y write sólo se pueden realizar estas funciones en el mismo nivel.
Modo de Operación
Caracterı́sticas • El modelo define un estado seguro (secure state) • El acceso entre sujetos y objetos respeta una polı́tica de seguridad especı́fica. • TCSEC es una implantación de Bell-LaPadula • Solo aplica a la sensibilizad (nivel de confidencialidad/secreto) de la información. • Es el modelo mas representativo en ambientes militares.
Biba • El modelo Biba cubre niveles de integridad, los cuales son análogos a los niveles de sensitividad del modelo Bell-LaPadula. • Los niveles de integridad cubren la modificación impropia de datos. • Tal vez el modelo mas representativo respecto de ambientes comerciales. • Previene que usuarios no autorizados realicen modificaciones (1er objetivo de integridad) • Modelo Read Up, Write Down • Los sujetos no pueden leer objetos de integridad inferior, y no pueden escribir objetos de integridad superior.
Modo de Operación
Resumen Biba • Orientado a asegurar la Integridad • Reglas de Operación: • simple-rule: no read down = evitar las fuentes dudosas. • *-rule: no write up = no contaminar otros documentos.
Clark & Wilson • Al igual que Biba, este modelo se encuentra orientado a proteger la integridad de la información. • Cumple con los principales objetivos de un modelo de integridad: • Previene las modificaciones por parte de usuarios no autorizados. (T – Tamper). • Previene que usuarios autorizados realicen modificaciones impropias. • Mantiene la consistencia interna y externa. (C – Consistencia) • Refuerza el concepto de auditoria. • Todas las las modificaciones deben ser registradas (L - Logged)
Well Formed Transactions • Propone “Well Formed Transactions” • Una WFT no es mas que una serie de operaciones que permiten la transferencia de datos de un estado seguro a otro estado seguro. • Algunos de los principios relacionados con WFT son: • Ejecución de tareas en forma ordenada. • Ejecución exacta de las tareas definidas. • Autenticación de los individuos que ejecutan las tareas. • El modelo Clark & Wilson, incorpora la separación de tareas (separation of duties) dentro de la arquitectura de una aplicación. Es decir, provee las reglas que los desarrolladores deben seguir a efectos de reforzar este principio a través de procedimientos de software.
Modo de Operación
Resumen Biba • Orientado a asegurar la Integridad • Conceptos Clave: • Access Triple = Subject -> Application (SW)-> Object • Auditing = Aplicación logueando accesos • Separation of Duties = Separación de tareas.
Modelo de máquina de estados Definición Modelo matemático abstracto que se compone de variables de estado y funciones de transición entre estados. • La mayorı́a de los modelos formales de seguridad, incluyendo Bell-LaPadula y Biba, se consideran derivados de este modelo.
Modelo de flujo de información Definición Simplifica el análisis de covert channels. Cuando Information Flow Model es utilizado, un sistema es seguro si todo flujo de información ilegal no es permitido. • Bell-LaPadula es un modelo de IF que asegura que la información no pueda fluir de un compartimiento a otro en forma que afecte la confidencialidad. Biba define compartimientos de datos basado en niveles de integridad, implementando de este modo, un modelo de IF que proteja la integridad de la información mas confiable.
Modelo de no-interferencia Definición Cubre aquellos casos en los que se necesita prevenir que sujetos que operan en un determinado dominio puedan afectarse entre sı́ violando la polı́tica de seguridad (Actividades realizadas sobre un nivel de seguridad no deberı́an afectar o ser vistas, por sujetos u objetos en un nivel de seguridad diferente). • De utilización tı́pica en sistemas multi-nivel. • Su principal propósito no es otro que el de combatir ataques de inferencia y de covert channels.
Modelo de Matriz de Accesos(Access Matrix Model) Definición Es un modelo de máquina de estados aplicado a un ambiente DAC (Discretionary Access Control). Decisiones de acceso, son basadas en ACLs de objetos y tablas de capacidades del sujeto.
Temario 1 Arquitectura de Computadoras 2 Mecanismos de protección 3 Modelos formales de seguridad 4 Guı́as de Evaluación 5 Certificación y Acreditación
Guı́as de Evaluación I • El proceso de determinar cuan seguro es un sistema puede ser una tarea difı́cil. • Las organizaciones necesitan métodos para evaluar el grado de seguridad otorgado por tal o cual sistema, y de este modo determinar si el mismo resuelve los requisitos impuestos por la polı́tica de seguridad implementada. • Una guı́a de evaluación, deberı́a ser lo suficientemente general en sus principios, de modo tal que la misma sirva a los efectos de comparar diferentes tipos de sistemas y otorgar a los mismos una clasificación de acuerdo al nivel de seguridad que presentan.
Guı́as de Evaluación II • Inicialmente, el concepto detrás de la confección de una Guı́a de Evaluación, se encuentra ı́ntimamente relacionado con la necesidad por parte de las agencias de seguridad, el gobierno, y las organizaciones privadas, de conocer el nivel o grado de seguridad, existente en los diferentes sistemas, aplicaciones o productos al momento de efectuar una compra o contratación.
Trusted Computer Systems Evaluation Criteria I • En 1985 el “National Computer Security Center” (NCSC), desarrolla para el “Departamento de Defensa de los EEUU” (DoD), un conjunto de estándares, los cuales resultan en la creación de TCSEC (Trusted Computer System Evaluation Criteria). • El principal objetivo detrás de la creación de TCSEC es el de proveer al gobierno y entidades relacionadas, con un guı́a que les permitiera evaluar los productos ofrecidos por los diferentes proveedores, para cada uno de los criterios de seguridad especificados. • TCSEC == “Orange Book” • TCSEC provee: • Una base para establecer requisitos de seguridad en las especificaciones de adquisición.
Trusted Computer Systems Evaluation Criteria II • Un estándar de los servicios de seguridad que deben ser proporcionados por los vendedores para los diferentes criterios de seguridad existentes. • Una forma de medir la seguridad de un sistema de información. • TCSEC direcciona confidencialidad. No integridad. La funcionalidad de los mecanismos de seguridad y el Assurance de los mismos, NO son evaluados en forma separada.
Niveles TCSEC • D - Minimal protection • C - Discretionary Protection • C1 – Usuarios cooperativos que pueden proteger su propia información • C2 – DAC más granular, se puede auditar al usuario/ proceso individualmente (individual accountability) • B - Mandatory Protection (Bell-LaPadula, RM, Security Labels Requeridas) • B1 Labeled Security Protection (Process Isolation!) • B2 Structured Protection (Covert Channels!) • B3 Security Domains • A - Verified Protection (Direcciona seguridad a nivel Top Secret) • A1 Verified Design
Information Technology Security Evaluation Criteria • Desarrollado en Europa como estándar único de evaluación de la seguridad en sistemas. • Evalúa Funcionalidad y Seguridad (Assurance) en forma separada. • Effectiveness = Hacen lo que se espera que haga. • Correctiveness = Que tan correcto es el proceso por el cual lo hacen. • Clasificaciones por: • F1-F10 Niveles de Funcionalidad. • E0-E6 Niveles de Assurance. • ITSEC direcciona Integridad, Disponibilidad y Confidencialidad. • ITSEC se ocupa de evaluar sistemas en red mietras que TCSEC solo hace lo propio con sistemas stand-alone.
Common Criteria (CC) • Creado por el ISO en 1993. • Creado a partir de TCSEC, ITSEC, Canadian Trusted. Computer Product Evaluation Criteria (CTCPEC) y el Federal Criteria. • Provee mas flexibilidad que TCSEC e ITSEC.
Componentes del Common Criteria (CC) • Protection Profile (PP) • Descripción de las necesidades de seguridad de un producto. • Target of Evaluation (TOE) • Producto que se propone evaluar. • Security Target (ST) • Descripción escrita por el proveedor explicando las funcionalidades de seguridad (que hace?) y mecanismos de assurance que cumplen los requerimientos de seguridad (como lo hace?). • Packages – Evaluation Assurance Levels (EAL) • Los requerimientos Funcionales (definen el comportamiento del producto relacionado con la seguridad) y de Assurance (establece el nivel de confianza en el producto) son reunidos en paquetes para ser reutilizados. • Describen los requisitos a cumplir para alcanzar cada nivel EAL especı́fico.
Package Ratings – Evaluations Ratings 1 Basic Assurance • EAL 1 Functionally tested • EAL 2 Structurally tested • EAL 3 Methodically tested and checked • EAL 4 Methodically designed, tested and reviewed 2 Medium Assurance • EAL 5 Semiformally designed and tested 3 High Assurance • EAL 6 Semiformally verified design and tested • EAL 7 Formally verified design and tested
Temario 1 Arquitectura de Computadoras 2 Mecanismos de protección 3 Modelos formales de seguridad 4 Guı́as de Evaluación 5 Certificación y Acreditación
Certificacón y Acreditación Certificación Evaluación técnica mediante la cual se revisan los mecanismos y controles de seguridad, con el objeto de evaluar su efectividad. • La certificación considera al sistema dentro del ambiente operativo. Acreditación Aceptación oficial de los resultados de una certificación. • La acreditación refiere a la decisión oficial de la gerencia relacionada con la operación del sistema en el ambiente especificado.
Referencias bibliográficas Improving Web Application Security: Threats and Countermeasures, Mark Curphey. ISO/IEC 27000:2012. Introducción al modelado de amenazas [web page]. Microsoft, Inc. [Visitada en: 27 de septiembre de 2021]. Uso de un marco para identificar amenazas y buscar formas de reducir o eliminar el riesgo [web page]. Microsoft, Inc. [Visitada en: 27 de septiembre de 2021]. STRIDE (seguridad) [web page]. Wikipedia. [Visitada en: 27 de septiembre de 2021]. ¿Qué es una amenaza avanzada persistente (APT)? [web page]. Kaspersky. [Visitada en: 27 de septiembre de 2021]. Chinese Army Unit Is Seen as Tied to Hacking Againist U.S., 2013 [web page]. The New Your Times. [Visitada en: 27 de

Empfohlen

Modelos de seguridad de la información
Modelos de seguridad de la informaciónModelos de seguridad de la información
Modelos de seguridad de la información
luisrobles17
 
Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799
Iestp Instituto Superior
 
Modulo I: Arquitectura de Seguridad Informática
Modulo I: Arquitectura de Seguridad InformáticaModulo I: Arquitectura de Seguridad Informática
Modulo I: Arquitectura de Seguridad Informática
Juan Manuel García
 
norma iso 17799
norma iso 17799norma iso 17799
norma iso 17799
Laura Miranda Dominguez
 
Seguridad física y lógica
Seguridad física y lógicaSeguridad física y lógica
Seguridad física y lógica
Eve_And
 
Mecanismos de seguridad informática
Mecanismos de seguridad informáticaMecanismos de seguridad informática
Mecanismos de seguridad informática
Jean Carlos Leon Vega
 
Magerit
MageritMagerit
Magerit
Krolina Agui
 
Seguridad De la Informacion
Seguridad De la InformacionSeguridad De la Informacion
Seguridad De la Informacion
Jessicakatherine
 

Empfohlen

Modelos de seguridad de la información
Modelos de seguridad de la informaciónModelos de seguridad de la información
Modelos de seguridad de la información
luisrobles17
 
Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799
Iestp Instituto Superior
 
Modulo I: Arquitectura de Seguridad Informática
Modulo I: Arquitectura de Seguridad InformáticaModulo I: Arquitectura de Seguridad Informática
Modulo I: Arquitectura de Seguridad Informática
Juan Manuel García
 
norma iso 17799
norma iso 17799norma iso 17799
norma iso 17799
Laura Miranda Dominguez
 
Seguridad física y lógica
Seguridad física y lógicaSeguridad física y lógica
Seguridad física y lógica
Eve_And
 
Mecanismos de seguridad informática
Mecanismos de seguridad informáticaMecanismos de seguridad informática
Mecanismos de seguridad informática
Jean Carlos Leon Vega
 
Magerit
MageritMagerit
Magerit
Krolina Agui
 
Seguridad De la Informacion
Seguridad De la InformacionSeguridad De la Informacion
Seguridad De la Informacion
Jessicakatherine
 
Conoce la Seguridad Cognitiva
Conoce la Seguridad CognitivaConoce la Seguridad Cognitiva
Conoce la Seguridad Cognitiva
Camilo Fandiño Gómez
 
Políticas de-seguridad-informática
Políticas de-seguridad-informáticaPolíticas de-seguridad-informática
Políticas de-seguridad-informática
Blanca Melida Oliva Amaya
 
Tema 1. Introducción a la Seguridad Informática
Tema 1. Introducción a la Seguridad InformáticaTema 1. Introducción a la Seguridad Informática
Tema 1. Introducción a la Seguridad Informática
Francisco Medina
 
Ciberseguridad
Ciberseguridad Ciberseguridad
Ciberseguridad
UNIVERSIDAD PERUANA DE INVESTIGACIÓN Y NEGOCIOS
 
Mecanismos de Seguridad En Informática
Mecanismos de Seguridad En InformáticaMecanismos de Seguridad En Informática
Mecanismos de Seguridad En Informática
Junior Rincón
 
Marcos de gobierno de ti
Marcos de gobierno de tiMarcos de gobierno de ti
Marcos de gobierno de ti
Rosmery Banr
 
Caso practico Auditoria de Sistemas Informaticos
Caso practico Auditoria de Sistemas InformaticosCaso practico Auditoria de Sistemas Informaticos
Caso practico Auditoria de Sistemas Informaticos
Eduardo Gonzalez
 
NIST cybersecurity framework
NIST cybersecurity frameworkNIST cybersecurity framework
NIST cybersecurity framework
Shriya Rai
 
Sencilla explicación sobre AES
Sencilla explicación sobre AESSencilla explicación sobre AES
Sencilla explicación sobre AES
Elvis Vinda
 
Principios de la Seguridad Informática
Principios de la Seguridad InformáticaPrincipios de la Seguridad Informática
Principios de la Seguridad Informática
franka99
 
Auditoria De Tecnologia De Informacion
Auditoria De Tecnologia De InformacionAuditoria De Tecnologia De Informacion
Auditoria De Tecnologia De Informacion
JUNJI - Junta Nacional de Jardines Infantiles
 
Auditoria en desarrollo de sistemas diapo[1]
Auditoria en desarrollo de sistemas diapo[1]Auditoria en desarrollo de sistemas diapo[1]
Auditoria en desarrollo de sistemas diapo[1]
caramelomix
 
Curso: Control de acceso y seguridad: 08 Controles de la ISO/IEC 27002 relaci...
Curso: Control de acceso y seguridad: 08 Controles de la ISO/IEC 27002 relaci...Curso: Control de acceso y seguridad: 08 Controles de la ISO/IEC 27002 relaci...
Curso: Control de acceso y seguridad: 08 Controles de la ISO/IEC 27002 relaci...
Jack Daniel Cáceres Meza
 
Gestión del riesgos de seguridad de la información
Gestión del riesgos de seguridad de la informaciónGestión del riesgos de seguridad de la información
Gestión del riesgos de seguridad de la información
ROBERTH CHAVEZ
 
Norma iso 17799
Norma iso 17799Norma iso 17799
Norma iso 17799
Freddy Fernando Cajamarca Sarmiento
 
Ciberseguridad
CiberseguridadCiberseguridad
Ciberseguridad
UNIVERSIDAD PERUANA DE INVESTIGACIÓN Y NEGOCIOS
 
Clase 5 -_interbloqueo
Clase 5 -_interbloqueoClase 5 -_interbloqueo
Clase 5 -_interbloqueo
victormchacon
 
SIEM POC Assessment.pdf
SIEM POC Assessment.pdfSIEM POC Assessment.pdf
SIEM POC Assessment.pdf
ReZa AdineH
 
Introduction to Risk Management via the NIST Cyber Security Framework
Introduction to Risk Management via the NIST Cyber Security FrameworkIntroduction to Risk Management via the NIST Cyber Security Framework
Introduction to Risk Management via the NIST Cyber Security Framework
PECB
 
AUDITORIA DE BASE DE DATOS
AUDITORIA DE BASE DE DATOSAUDITORIA DE BASE DE DATOS
AUDITORIA DE BASE DE DATOS
GRECIAGALLEGOS
 
Presetacion redes ip
Presetacion redes ipPresetacion redes ip
Presetacion redes ip
Jose Alberto Medina Vega
 
Fundamentos Seguridad OT - Mod 1-2 (1).pdf
Fundamentos Seguridad OT - Mod 1-2 (1).pdfFundamentos Seguridad OT - Mod 1-2 (1).pdf
Fundamentos Seguridad OT - Mod 1-2 (1).pdf
AlonsoCid
 

Weitere ähnliche Inhalte

Was ist angesagt?

Marcos de gobierno de ti
Marcos de gobierno de tiMarcos de gobierno de ti
Marcos de gobierno de ti
Rosmery Banr
 
Auditoria en desarrollo de sistemas diapo[1]
Auditoria en desarrollo de sistemas diapo[1]Auditoria en desarrollo de sistemas diapo[1]
Auditoria en desarrollo de sistemas diapo[1]
caramelomix
 
Gestión del riesgos de seguridad de la información
Gestión del riesgos de seguridad de la informaciónGestión del riesgos de seguridad de la información
Gestión del riesgos de seguridad de la información
ROBERTH CHAVEZ
 
Clase 5 -_interbloqueo
Clase 5 -_interbloqueoClase 5 -_interbloqueo
Clase 5 -_interbloqueo
victormchacon
 
Introduction to Risk Management via the NIST Cyber Security Framework
Introduction to Risk Management via the NIST Cyber Security FrameworkIntroduction to Risk Management via the NIST Cyber Security Framework
Introduction to Risk Management via the NIST Cyber Security Framework
PECB
 
AUDITORIA DE BASE DE DATOS
AUDITORIA DE BASE DE DATOSAUDITORIA DE BASE DE DATOS
AUDITORIA DE BASE DE DATOS
GRECIAGALLEGOS
 

Was ist angesagt? (20)

Conoce la Seguridad Cognitiva
Conoce la Seguridad CognitivaConoce la Seguridad Cognitiva
Conoce la Seguridad Cognitiva
 
Políticas de-seguridad-informática
Políticas de-seguridad-informáticaPolíticas de-seguridad-informática
Políticas de-seguridad-informática
 
Tema 1. Introducción a la Seguridad Informática
Tema 1. Introducción a la Seguridad InformáticaTema 1. Introducción a la Seguridad Informática
Tema 1. Introducción a la Seguridad Informática
 
Ciberseguridad
Ciberseguridad Ciberseguridad
Ciberseguridad
 
Mecanismos de Seguridad En Informática
Mecanismos de Seguridad En InformáticaMecanismos de Seguridad En Informática
Mecanismos de Seguridad En Informática
 
Marcos de gobierno de ti
Marcos de gobierno de tiMarcos de gobierno de ti
Marcos de gobierno de ti
 
Caso practico Auditoria de Sistemas Informaticos
Caso practico Auditoria de Sistemas InformaticosCaso practico Auditoria de Sistemas Informaticos
Caso practico Auditoria de Sistemas Informaticos
 
NIST cybersecurity framework
NIST cybersecurity frameworkNIST cybersecurity framework
NIST cybersecurity framework
 
Sencilla explicación sobre AES
Sencilla explicación sobre AESSencilla explicación sobre AES
Sencilla explicación sobre AES
 
Principios de la Seguridad Informática
Principios de la Seguridad InformáticaPrincipios de la Seguridad Informática
Principios de la Seguridad Informática
 
Auditoria De Tecnologia De Informacion
Auditoria De Tecnologia De InformacionAuditoria De Tecnologia De Informacion
Auditoria De Tecnologia De Informacion
 
Auditoria en desarrollo de sistemas diapo[1]
Auditoria en desarrollo de sistemas diapo[1]Auditoria en desarrollo de sistemas diapo[1]
Auditoria en desarrollo de sistemas diapo[1]
 
Curso: Control de acceso y seguridad: 08 Controles de la ISO/IEC 27002 relaci...
Curso: Control de acceso y seguridad: 08 Controles de la ISO/IEC 27002 relaci...Curso: Control de acceso y seguridad: 08 Controles de la ISO/IEC 27002 relaci...
Curso: Control de acceso y seguridad: 08 Controles de la ISO/IEC 27002 relaci...
 
Gestión del riesgos de seguridad de la información
Gestión del riesgos de seguridad de la informaciónGestión del riesgos de seguridad de la información
Gestión del riesgos de seguridad de la información
 
Norma iso 17799
Norma iso 17799Norma iso 17799
Norma iso 17799
 
Ciberseguridad
CiberseguridadCiberseguridad
Ciberseguridad
 
Clase 5 -_interbloqueo
Clase 5 -_interbloqueoClase 5 -_interbloqueo
Clase 5 -_interbloqueo
 
SIEM POC Assessment.pdf
SIEM POC Assessment.pdfSIEM POC Assessment.pdf
SIEM POC Assessment.pdf
 
Introduction to Risk Management via the NIST Cyber Security Framework
Introduction to Risk Management via the NIST Cyber Security FrameworkIntroduction to Risk Management via the NIST Cyber Security Framework
Introduction to Risk Management via the NIST Cyber Security Framework
 
AUDITORIA DE BASE DE DATOS
AUDITORIA DE BASE DE DATOSAUDITORIA DE BASE DE DATOS
AUDITORIA DE BASE DE DATOS
 

Ähnlich wie Tema 3. Arquitectura y diseño de seguridad

Seguridad en sitios web
Seguridad en sitios webSeguridad en sitios web
Seguridad en sitios web
UTPL
 
Seguridad en gestion_de_redes
Seguridad en gestion_de_redesSeguridad en gestion_de_redes
Seguridad en gestion_de_redes
hmitre17
 
La (in)seguridad de los sistemas de control de procesos [ES]
La (in)seguridad de los sistemas de control de procesos [ES]La (in)seguridad de los sistemas de control de procesos [ES]
La (in)seguridad de los sistemas de control de procesos [ES]
Sistel CONTROL
 
La guerra cibernética y cómo puede afectar a las operaciones industriales en ...
La guerra cibernética y cómo puede afectar a las operaciones industriales en ...La guerra cibernética y cómo puede afectar a las operaciones industriales en ...
La guerra cibernética y cómo puede afectar a las operaciones industriales en ...
TGS
 
La (in)seguridad de los sistemas de control de procesos publicado en 2013
La (in)seguridad de los sistemas de control de procesos publicado en 2013 La (in)seguridad de los sistemas de control de procesos publicado en 2013
La (in)seguridad de los sistemas de control de procesos publicado en 2013
Diego Martín Arcos
 
Políticas de seguridad informática
Políticas de seguridad informáticaPolíticas de seguridad informática
Políticas de seguridad informática
deisyudith
 
CUESTIONES 19
CUESTIONES 19CUESTIONES 19
CUESTIONES 19
majitoer
 

Ähnlich wie Tema 3. Arquitectura y diseño de seguridad (20)

Presetacion redes ip
Presetacion redes ipPresetacion redes ip
Presetacion redes ip
 
Fundamentos Seguridad OT - Mod 1-2 (1).pdf
Fundamentos Seguridad OT - Mod 1-2 (1).pdfFundamentos Seguridad OT - Mod 1-2 (1).pdf
Fundamentos Seguridad OT - Mod 1-2 (1).pdf
 
Seguridad en la red
Seguridad en la redSeguridad en la red
Seguridad en la red
 
Actividad so
Actividad soActividad so
Actividad so
 
Mecanismos de Seguridad - Seguridad en Redes
Mecanismos de Seguridad - Seguridad en RedesMecanismos de Seguridad - Seguridad en Redes
Mecanismos de Seguridad - Seguridad en Redes
 
Seguridad en sitios web
Seguridad en sitios webSeguridad en sitios web
Seguridad en sitios web
 
Sgsi
SgsiSgsi
Sgsi
 
Sgsi
SgsiSgsi
Sgsi
 
CRITERIOS DE SEGURIDAD EN UNA EMPRESA DE SERVICIOS DE VENTAS REGIONALES DE ED...
CRITERIOS DE SEGURIDAD EN UNA EMPRESA DE SERVICIOS DE VENTAS REGIONALES DE ED...CRITERIOS DE SEGURIDAD EN UNA EMPRESA DE SERVICIOS DE VENTAS REGIONALES DE ED...
CRITERIOS DE SEGURIDAD EN UNA EMPRESA DE SERVICIOS DE VENTAS REGIONALES DE ED...
 
SSEGURIDAD DE LA INFORMACION
SSEGURIDAD DE LA INFORMACIONSSEGURIDAD DE LA INFORMACION
SSEGURIDAD DE LA INFORMACION
 
Seguridad en gestion_de_redes
Seguridad en gestion_de_redesSeguridad en gestion_de_redes
Seguridad en gestion_de_redes
 
La (in)seguridad de los sistemas de control de procesos [ES]
La (in)seguridad de los sistemas de control de procesos [ES]La (in)seguridad de los sistemas de control de procesos [ES]
La (in)seguridad de los sistemas de control de procesos [ES]
 
La guerra cibernética y cómo puede afectar a las operaciones industriales en ...
La guerra cibernética y cómo puede afectar a las operaciones industriales en ...La guerra cibernética y cómo puede afectar a las operaciones industriales en ...
La guerra cibernética y cómo puede afectar a las operaciones industriales en ...
 
Newtech brochure
Newtech brochureNewtech brochure
Newtech brochure
 
Glosario
GlosarioGlosario
Glosario
 
La (in)seguridad de los sistemas de control de procesos publicado en 2013
La (in)seguridad de los sistemas de control de procesos publicado en 2013 La (in)seguridad de los sistemas de control de procesos publicado en 2013
La (in)seguridad de los sistemas de control de procesos publicado en 2013
 
LECCION 8..pptx
LECCION 8..pptxLECCION 8..pptx
LECCION 8..pptx
 
Políticas de seguridad informática
Políticas de seguridad informáticaPolíticas de seguridad informática
Políticas de seguridad informática
 
Uvi tema10-equipo cam-sgepci
Uvi tema10-equipo cam-sgepciUvi tema10-equipo cam-sgepci
Uvi tema10-equipo cam-sgepci
 
CUESTIONES 19
CUESTIONES 19CUESTIONES 19
CUESTIONES 19
 

Mehr von Francisco Medina

Mehr von Francisco Medina (20)

2021 1 T4-Criptografía
2021 1 T4-Criptografía2021 1 T4-Criptografía
2021 1 T4-Criptografía
 
Tema 3. Arquitectura y diseño de seguridad
Tema 3. Arquitectura y diseño de seguridadTema 3. Arquitectura y diseño de seguridad
Tema 3. Arquitectura y diseño de seguridad
 
Tema 2: Análisis de Riesgos
Tema 2: Análisis de RiesgosTema 2: Análisis de Riesgos
Tema 2: Análisis de Riesgos
 
Por qué es importante cuidar mi privacidad en Internet
Por qué es importante cuidar mi privacidad en InternetPor qué es importante cuidar mi privacidad en Internet
Por qué es importante cuidar mi privacidad en Internet
 
Tema 1. Introducción a la Seguridad Informática
Tema 1. Introducción a la Seguridad InformáticaTema 1. Introducción a la Seguridad Informática
Tema 1. Introducción a la Seguridad Informática
 
Conociendo la Dark Web
Conociendo la Dark WebConociendo la Dark Web
Conociendo la Dark Web
 
2021-1 Presentación de la materia Seguridad Informática
2021-1 Presentación de la materia Seguridad Informática2021-1 Presentación de la materia Seguridad Informática
2021-1 Presentación de la materia Seguridad Informática
 
Tema 1. Active Directory
Tema 1. Active DirectoryTema 1. Active Directory
Tema 1. Active Directory
 
Administración de Servidores WINDOWS T1
Administración de Servidores WINDOWS T1Administración de Servidores WINDOWS T1
Administración de Servidores WINDOWS T1
 
Caso de estudio No.1: Heartbleed y Shellshock
Caso de estudio No.1: Heartbleed y ShellshockCaso de estudio No.1: Heartbleed y Shellshock
Caso de estudio No.1: Heartbleed y Shellshock
 
Tema 3. Seguridad en las Comunicaciones
Tema 3. Seguridad en las ComunicacionesTema 3. Seguridad en las Comunicaciones
Tema 3. Seguridad en las Comunicaciones
 
2017-2 Tema 2. Identidad
2017-2 Tema 2. Identidad2017-2 Tema 2. Identidad
2017-2 Tema 2. Identidad
 
Presentación de la materia Seguridad Informática 2017-2
Presentación de la materia Seguridad Informática 2017-2Presentación de la materia Seguridad Informática 2017-2
Presentación de la materia Seguridad Informática 2017-2
 
Tema 1. Seguridad Física
Tema 1. Seguridad FísicaTema 1. Seguridad Física
Tema 1. Seguridad Física
 
Presentación de la materia Seguridad en redes 2017-2
Presentación de la materia Seguridad en redes 2017-2Presentación de la materia Seguridad en redes 2017-2
Presentación de la materia Seguridad en redes 2017-2
 
Presentación del Módulo 6. Seguridad en Base de Datos
Presentación del Módulo 6. Seguridad en Base de DatosPresentación del Módulo 6. Seguridad en Base de Datos
Presentación del Módulo 6. Seguridad en Base de Datos
 
Módulo 3. Tema 1. Cableado Estructurado
Módulo 3. Tema 1. Cableado EstructuradoMódulo 3. Tema 1. Cableado Estructurado
Módulo 3. Tema 1. Cableado Estructurado
 
Presentación Módulo 3. Tecnología de conectividad en redes.
Presentación Módulo 3. Tecnología de conectividad en redes.Presentación Módulo 3. Tecnología de conectividad en redes.
Presentación Módulo 3. Tecnología de conectividad en redes.
 
Tema 1, Introducción a la Informática Forense
Tema 1, Introducción a la Informática ForenseTema 1, Introducción a la Informática Forense
Tema 1, Introducción a la Informática Forense
 
Tema 2. Evidencia digital
Tema 2. Evidencia digitalTema 2. Evidencia digital
Tema 2. Evidencia digital
 

Kürzlich hochgeladen

6.-Como-Atraer-El-Amor-01-Lain-Garcia-Calvo.pdf
6.-Como-Atraer-El-Amor-01-Lain-Garcia-Calvo.pdf6.-Como-Atraer-El-Amor-01-Lain-Garcia-Calvo.pdf
6.-Como-Atraer-El-Amor-01-Lain-Garcia-Calvo.pdf
MiNeyi1
 
Prueba libre de Geografía para obtención título Bachillerato - 2024
Prueba libre de Geografía para obtención título Bachillerato - 2024Prueba libre de Geografía para obtención título Bachillerato - 2024
Prueba libre de Geografía para obtención título Bachillerato - 2024
Juan Martín Martín
 
🦄💫4° SEM32 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx
🦄💫4° SEM32 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx🦄💫4° SEM32 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx
🦄💫4° SEM32 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx
EliaHernndez7
 

Kürzlich hochgeladen (20)

Unidad 3 | Metodología de la Investigación
Unidad 3 | Metodología de la InvestigaciónUnidad 3 | Metodología de la Investigación
Unidad 3 | Metodología de la Investigación
 
Prueba de evaluación Geografía e Historia Comunidad de Madrid 4ºESO
Prueba de evaluación Geografía e Historia Comunidad de Madrid 4ºESOPrueba de evaluación Geografía e Historia Comunidad de Madrid 4ºESO
Prueba de evaluación Geografía e Historia Comunidad de Madrid 4ºESO
 
OCTAVO SEGUNDO PERIODO. EMPRENDIEMIENTO VS
OCTAVO SEGUNDO PERIODO. EMPRENDIEMIENTO VSOCTAVO SEGUNDO PERIODO. EMPRENDIEMIENTO VS
OCTAVO SEGUNDO PERIODO. EMPRENDIEMIENTO VS
 
Infografía EE con pie del 2023 (3)-1.pdf
Infografía EE con pie del 2023 (3)-1.pdfInfografía EE con pie del 2023 (3)-1.pdf
Infografía EE con pie del 2023 (3)-1.pdf
 
Power Point: Fe contra todo pronóstico.pptx
Power Point: Fe contra todo pronóstico.pptxPower Point: Fe contra todo pronóstico.pptx
Power Point: Fe contra todo pronóstico.pptx
 
Medición del Movimiento Online 2024.pptx
Medición del Movimiento Online 2024.pptxMedición del Movimiento Online 2024.pptx
Medición del Movimiento Online 2024.pptx
 
Tema 17. Biología de los microorganismos 2024
Tema 17. Biología de los microorganismos 2024Tema 17. Biología de los microorganismos 2024
Tema 17. Biología de los microorganismos 2024
 
Feliz Día de la Madre - 5 de Mayo, 2024.pdf
Feliz Día de la Madre - 5 de Mayo, 2024.pdfFeliz Día de la Madre - 5 de Mayo, 2024.pdf
Feliz Día de la Madre - 5 de Mayo, 2024.pdf
 
ACERTIJO DE POSICIÓN DE CORREDORES EN LA OLIMPIADA. Por JAVIER SOLIS NOYOLA
ACERTIJO DE POSICIÓN DE CORREDORES EN LA OLIMPIADA. Por JAVIER SOLIS NOYOLAACERTIJO DE POSICIÓN DE CORREDORES EN LA OLIMPIADA. Por JAVIER SOLIS NOYOLA
ACERTIJO DE POSICIÓN DE CORREDORES EN LA OLIMPIADA. Por JAVIER SOLIS NOYOLA
 
PINTURA DEL RENACIMIENTO EN ESPAÑA (SIGLO XVI).ppt
PINTURA DEL RENACIMIENTO EN ESPAÑA (SIGLO XVI).pptPINTURA DEL RENACIMIENTO EN ESPAÑA (SIGLO XVI).ppt
PINTURA DEL RENACIMIENTO EN ESPAÑA (SIGLO XVI).ppt
 
2024 KIT DE HABILIDADES SOCIOEMOCIONALES.pdf
2024 KIT DE HABILIDADES SOCIOEMOCIONALES.pdf2024 KIT DE HABILIDADES SOCIOEMOCIONALES.pdf
2024 KIT DE HABILIDADES SOCIOEMOCIONALES.pdf
 
SESION DE PERSONAL SOCIAL. La convivencia en familia 22-04-24 -.doc
SESION DE PERSONAL SOCIAL. La convivencia en familia 22-04-24 -.docSESION DE PERSONAL SOCIAL. La convivencia en familia 22-04-24 -.doc
SESION DE PERSONAL SOCIAL. La convivencia en familia 22-04-24 -.doc
 
6.-Como-Atraer-El-Amor-01-Lain-Garcia-Calvo.pdf
6.-Como-Atraer-El-Amor-01-Lain-Garcia-Calvo.pdf6.-Como-Atraer-El-Amor-01-Lain-Garcia-Calvo.pdf
6.-Como-Atraer-El-Amor-01-Lain-Garcia-Calvo.pdf
 
BIOMETANO SÍ, PERO NO ASÍ. LA NUEVA BURBUJA ENERGÉTICA
BIOMETANO SÍ, PERO NO ASÍ. LA NUEVA BURBUJA ENERGÉTICABIOMETANO SÍ, PERO NO ASÍ. LA NUEVA BURBUJA ENERGÉTICA
BIOMETANO SÍ, PERO NO ASÍ. LA NUEVA BURBUJA ENERGÉTICA
 
SELECCIÓN DE LA MUESTRA Y MUESTREO EN INVESTIGACIÓN CUALITATIVA.pdf
SELECCIÓN DE LA MUESTRA Y MUESTREO EN INVESTIGACIÓN CUALITATIVA.pdfSELECCIÓN DE LA MUESTRA Y MUESTREO EN INVESTIGACIÓN CUALITATIVA.pdf
SELECCIÓN DE LA MUESTRA Y MUESTREO EN INVESTIGACIÓN CUALITATIVA.pdf
 
Tema 10. Dinámica y funciones de la Atmosfera 2024
Tema 10. Dinámica y funciones de la Atmosfera 2024Tema 10. Dinámica y funciones de la Atmosfera 2024
Tema 10. Dinámica y funciones de la Atmosfera 2024
 
SEXTO SEGUNDO PERIODO EMPRENDIMIENTO.pptx
SEXTO SEGUNDO PERIODO EMPRENDIMIENTO.pptxSEXTO SEGUNDO PERIODO EMPRENDIMIENTO.pptx
SEXTO SEGUNDO PERIODO EMPRENDIMIENTO.pptx
 
Prueba libre de Geografía para obtención título Bachillerato - 2024
Prueba libre de Geografía para obtención título Bachillerato - 2024Prueba libre de Geografía para obtención título Bachillerato - 2024
Prueba libre de Geografía para obtención título Bachillerato - 2024
 
Lecciones 05 Esc. Sabática. Fe contra todo pronóstico.
Lecciones 05 Esc. Sabática. Fe contra todo pronóstico.Lecciones 05 Esc. Sabática. Fe contra todo pronóstico.
Lecciones 05 Esc. Sabática. Fe contra todo pronóstico.
 
🦄💫4° SEM32 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx
🦄💫4° SEM32 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx🦄💫4° SEM32 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx
🦄💫4° SEM32 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx
 

Tema 3. Arquitectura y diseño de seguridad

  • 1. Seguridad Informática Tema 3. Arquitectura y diseño de seguridad Francisco Medina López – paco.medina@comunidad.unam.mx Facultad de Contadurı́a y Administración Universidad Nacional Autónoma de México 2022-1
  • 2. Temario 1 Arquitectura de Computadoras 2 Mecanismos de protección 3 Modelos formales de seguridad 4 Guı́as de Evaluación 5 Certificación y Acreditación
  • 3. Temario 1 Arquitectura de Computadoras 2 Mecanismos de protección 3 Modelos formales de seguridad 4 Guı́as de Evaluación 5 Certificación y Acreditación
  • 4. Arquitectura El estándar TOGAF define a la arquitecture como: Definición La estructura de los componentes, sus interrelaciones y los principios y directrices que rigen su diseño y evolución en el tiempo. Dominios: 1 Arquitectura de negocio: define la estrategia empresarial, la gobernanza, la organización y los procesos empresariales clave. 2 Arquitectura de datos: describe la estructura de los activos de datos lógicos y fı́sicos de una organización y los recursos de gestión de datos. 3 Arquitectura de aplicación: proporciona las directrices para el desarrollo e implementación de las aplicaciones. 4 Arquitectura tecnológica: describe al software y hardware que se requiere para respaldar la implementación de servicios y aplicaciones; esto incluye infraestructura de TI, middleware, redes, comunicaciones, procesamiento, estándares, etc.
  • 5. Arquitectura de seguridad Definición Diseño de alto nivel de un sistema desde una perspectiva de seguridad, es decir, cómo los controles de seguridad fueron seleccionados e implementados dentro del sistema. Considera: • Ciclo de vida de un sistema, desde su concepción hasta su retiro. • Cómo se organizan los usuarios, los datos y los servicios para garantizar que las interacciones potenciales de mayor riesgo estén protegidas por los mecanismos de seguridad simples y autónomos.
  • 6. Pasos para el diseño de la arquitectura de seguridad 1 Revisar el uso propuesto del sitema. • Identificar las interacciones entre los usuarios, los datos y los servicios del sistema. • Gestionar el riesgo. • Identificar requisitos externos tales como el cumplimiento (compliance) y obligaciones contractuales. 2 Agrupar a los usuarios y los datos en categorı́as amplias utilizando los requisitos de acceso a los roles, junto con la clasificación formal de los datos y la autorización del usuario.
  • 7. Principios de Arquitectura de Seguridad I 1 Economia del mecanismo. El diseño de los controles de seguridad debe ser lo más simple posible para garantizar una alta seguridad. 2 Fail-safe defaults. Los controles de seguridad deben permitir operar el sistema de acuerdo a la polı́tica de seguridad y rechazar cualquier otra operación. 3 Mediación completa. Todas las operaciones en todos los objetos de un sistema deben verificarse para asegurarse que cumplen con la polı́tica de seguridad. 4 Diseño abierto. La seguridad del control no debe depender del secreto de su funcionamiento, sino únicamente de contraseñas o secretos bien especificados.
  • 8. Principios de Arquitectura de Seguridad II 5 Seperación de privilegio. Los controles de seguridad que dependen de varios sujetos para autorizar una operación, brindan mayor seguridad que aquellos que dependen de un solo sujeto. 6 Mı́nimo privilegio. Los sujetos y las operaciones que realizan en un sistema deben realizarse con el mı́nimo privilegio posible. 7 Least common mechanism. Es preferible minimizar el uso compartido de recursos y sistemas entre diferentes partes. 8 Psicológicamente aceptable. El control de seguridad debe ser utilizable de forma natural para que los usuarios los utilicen ”de forma rutinaria y automática”.
  • 11. Temario 1 Arquitectura de Computadoras 2 Mecanismos de protección 3 Modelos formales de seguridad 4 Guı́as de Evaluación 5 Certificación y Acreditación
  • 12. Mecanismos de protección Definición Cualquier tipo de elemento tecnológico que permita identificar, proteger, detectar, responder o minimizar el riesgo asociado con la ocurrencia de una amenaza especı́fica. Objetivo: • Reducir los efectos producidos por las amenazas de seguridad (threats) y vulnerabilidades (vulnerabilities) a un nivel tolerable para una organización.
  • 14. Soluciones de seguridad (2) Categorı́as: • Advanced Threat Protection, ICS + OT, NAC, SDN, DDoS Protection, DNS Security, Network Firewall, SASE, Deception, Network Analysis & Forensics.
  • 15. Magic Quadrant for Endpoint Protection Platforms
  • 16. ICS + OT Definición Sistema de control industrial (ICS) es un término general que abarca varios tipos de sistemas de control e instrumentos asociados utilizados para el control de procesos industriales. Definición La tecnologı́a operativa (OT) se refiere a los sistemas informáticos que se utilizan para gestionar las operaciones industriales, incluyen gestión de la lı́nea de producción, control de operaciones mineras, monitoreo de petróleo y gas, . . . [8]
  • 17. Magic Quadrant for Industrial IoT Platforms
  • 18. Control de aceso a la red (NAC) Definición Network Access Control (NAC) es una tecnologı́a que permite controlar de forma muy granular qué dispositivos pueden acceder a la red, permitiendo establecer polı́ticas de gestión de los dispositivos, tanto fijos como móviles, e integrar polı́ticas BYOD.
  • 20. Redes definidas por software (SDN) Definición Las redes definidas por software (SDN) representan un enfoque en el que las redes utilizan controladores basados en software o interfaces de programación de aplicaciones (API) para dirigir el tráfico en la red y comunicarse con la infraestructura de hardware subyacente. [9] 1 Este enfoque es distinto al de las redes tradicionales, que utilizan dispositivos de hardware dedicados (enrutadores y conmutadores) para controlar el tráfico de la red. 2 Una SDN puede crear y controlar una red virtual o controlar una red de hardware tradicional mediante el software.
  • 22. Protección contra DDoS Tecnologı́as para protección contra DDoS:[10] 1 Scrubbing centers 2 CDNs 3 CSPs y proveedores de hosting 4 IaaS
  • 23. Scrubbing center Definición Cento de datos centralizado donde se analiza y elimina el tráfico malicioso (ddos, vulnerabilidades conocidas y exploits). Enlace . • Utilizados por grandes empresas, como ISP y proveedores de nube. • Cuando una organización está bajo ataque, el tráfico se redirige (normalmente mediante DNS o BGP) al centro de depuración, donde un sistema de mitigación de ataques elmina el tráfico malicioso y devuelve tráfico limpio a la red para su entrega.
  • 24. Firewall de Red Definición Un firewall de red es un sistema o una combinación de sistemas que impone una barrera entre dos o más redes que por lo regular forman una división entre un ambiente seguro y una abierto, como Internet. Figura: El Firewall y los ambientes de seguridad Moraes, Alexandre M. S. P. Cisco Firewalls, Cisco Press, P 6.
  • 25. Magic Quadrant for Network Firewalls
  • 26. Secure Access Service Edge (SASE) Definición Un perı́metro de servicio de acceso seguro (SASE) es una arquitectura de red que combina capacidades de VPN y SD-WAN con funciones de seguridad nativas de la nube, como puertas de enlace web seguras, agentes de seguridad de acceso a la nube, firewall y acceso a la red de confianza cero. Enlace • Estas funciones se entregan desde la nube y el proveedor de SASE las proporciona como un servicio.
  • 28. Magic Quadrant for WAN Edge Infrastructure
  • 29. Engaño (Deception) Definición Tecnologı́as que permiten desplegar múltiples trampas y señuelos en una red, utilizando un camuflaje que aparenta equipos o recursos reales, con el fin de que los atacantes los rastreen, ataquen, e incluso los vulneren, pensando que están logrando comprometer a la organización. Los objetivos que se buscan son: 1 Obtener información valiosa acerca de las técnicas y artefactos que están utilizando los atacantes, ası́ como de sus posibles objetivos y métodos, proporcionando inteligencia accionable a los equipos de ciberseguridad para actuar de manera más oportuna y eficiente. 2 Retrasar, distraer o frustrar las actividades de los atacantes, sobre todas aquellas asociadas con el reconocimiento y los movimientos laterales.
  • 30. ¿Para que es usan las tecnologı́as del Engaño?
  • 31. Hype Cycle for Network Security
  • 32. Hype Cycle for Security Operations
  • 33. Temario 1 Arquitectura de Computadoras 2 Mecanismos de protección 3 Modelos formales de seguridad 4 Guı́as de Evaluación 5 Certificación y Acreditación
  • 34. Modelos formales de Seguridad “Los modelos de seguridad son un concepto importante en el análisis y diseño de sistemas de cómputo seguro” . • Provee un marco de refrencia dentro del cual puede ser implementada una polı́tica de seguridad. • Define los lineamientos necesarios para implementar y soportar la polı́tica de seguridad. • Provee los lineamientos y directivas que deben cumplir los desarrollos de hardware y software, motivo por el cual solemos referirnos a estos como la representación simbólica de una polı́tica de seguridad en un conjunto de reglas que pueden ser seguidas por una computadora.
  • 35. Polı́tica vs Modelo de Seguridad Mientras que una polı́tica de seguridad es generalmente un conjunto de directivas o intenciones abstractas, un modelo de seguridad representa exactamente el modo en el cual la polı́tica deberı́a ser implementada. Las polı́ticas de seguridad proveen los objetivos abstractos y el modelo de seguridad provee las reglas necesarias para cumplir con dichos objetivos.
  • 36. Implementación En la actualidad, los modelos formales de seguridad han quedado algo relegados respecto de la cambiante dinámica de negocios con la cual convivimos a diario. Siendo rigoristas, si bien los mismos aún permiten establecer parámetros generales, a nivel práctico solo pueden ser implementados parcialmente. Conceptos tales como: Firewall, Troyanos o Worms, no se encuentran contemplados en los denominados modelos formales
  • 37. Bell-Lapadula Definición • Orientado a mantener la confidencialidad. • Reglas de Operación: • simple-rule (no read up) = espionaje • *-rule (no write down) = divulgación • strong-*-rule : si se posee la capacidad de read y write sólo se pueden realizar estas funciones en el mismo nivel.
  • 39. Caracterı́sticas • El modelo define un estado seguro (secure state) • El acceso entre sujetos y objetos respeta una polı́tica de seguridad especı́fica. • TCSEC es una implantación de Bell-LaPadula • Solo aplica a la sensibilizad (nivel de confidencialidad/secreto) de la información. • Es el modelo mas representativo en ambientes militares.
  • 40. Biba • El modelo Biba cubre niveles de integridad, los cuales son análogos a los niveles de sensitividad del modelo Bell-LaPadula. • Los niveles de integridad cubren la modificación impropia de datos. • Tal vez el modelo mas representativo respecto de ambientes comerciales. • Previene que usuarios no autorizados realicen modificaciones (1er objetivo de integridad) • Modelo Read Up, Write Down • Los sujetos no pueden leer objetos de integridad inferior, y no pueden escribir objetos de integridad superior.
  • 42. Resumen Biba • Orientado a asegurar la Integridad • Reglas de Operación: • simple-rule: no read down = evitar las fuentes dudosas. • *-rule: no write up = no contaminar otros documentos.
  • 43. Clark & Wilson • Al igual que Biba, este modelo se encuentra orientado a proteger la integridad de la información. • Cumple con los principales objetivos de un modelo de integridad: • Previene las modificaciones por parte de usuarios no autorizados. (T – Tamper). • Previene que usuarios autorizados realicen modificaciones impropias. • Mantiene la consistencia interna y externa. (C – Consistencia) • Refuerza el concepto de auditoria. • Todas las las modificaciones deben ser registradas (L - Logged)
  • 44. Well Formed Transactions • Propone “Well Formed Transactions” • Una WFT no es mas que una serie de operaciones que permiten la transferencia de datos de un estado seguro a otro estado seguro. • Algunos de los principios relacionados con WFT son: • Ejecución de tareas en forma ordenada. • Ejecución exacta de las tareas definidas. • Autenticación de los individuos que ejecutan las tareas. • El modelo Clark & Wilson, incorpora la separación de tareas (separation of duties) dentro de la arquitectura de una aplicación. Es decir, provee las reglas que los desarrolladores deben seguir a efectos de reforzar este principio a través de procedimientos de software.
  • 46. Resumen Biba • Orientado a asegurar la Integridad • Conceptos Clave: • Access Triple = Subject -> Application (SW)-> Object • Auditing = Aplicación logueando accesos • Separation of Duties = Separación de tareas.
  • 47. Modelo de máquina de estados Definición Modelo matemático abstracto que se compone de variables de estado y funciones de transición entre estados. • La mayorı́a de los modelos formales de seguridad, incluyendo Bell-LaPadula y Biba, se consideran derivados de este modelo.
  • 48. Modelo de flujo de información Definición Simplifica el análisis de covert channels. Cuando Information Flow Model es utilizado, un sistema es seguro si todo flujo de información ilegal no es permitido. • Bell-LaPadula es un modelo de IF que asegura que la información no pueda fluir de un compartimiento a otro en forma que afecte la confidencialidad. Biba define compartimientos de datos basado en niveles de integridad, implementando de este modo, un modelo de IF que proteja la integridad de la información mas confiable.
  • 49. Modelo de no-interferencia Definición Cubre aquellos casos en los que se necesita prevenir que sujetos que operan en un determinado dominio puedan afectarse entre sı́ violando la polı́tica de seguridad (Actividades realizadas sobre un nivel de seguridad no deberı́an afectar o ser vistas, por sujetos u objetos en un nivel de seguridad diferente). • De utilización tı́pica en sistemas multi-nivel. • Su principal propósito no es otro que el de combatir ataques de inferencia y de covert channels.
  • 50. Modelo de Matriz de Accesos(Access Matrix Model) Definición Es un modelo de máquina de estados aplicado a un ambiente DAC (Discretionary Access Control). Decisiones de acceso, son basadas en ACLs de objetos y tablas de capacidades del sujeto.
  • 51. Temario 1 Arquitectura de Computadoras 2 Mecanismos de protección 3 Modelos formales de seguridad 4 Guı́as de Evaluación 5 Certificación y Acreditación
  • 52. Guı́as de Evaluación I • El proceso de determinar cuan seguro es un sistema puede ser una tarea difı́cil. • Las organizaciones necesitan métodos para evaluar el grado de seguridad otorgado por tal o cual sistema, y de este modo determinar si el mismo resuelve los requisitos impuestos por la polı́tica de seguridad implementada. • Una guı́a de evaluación, deberı́a ser lo suficientemente general en sus principios, de modo tal que la misma sirva a los efectos de comparar diferentes tipos de sistemas y otorgar a los mismos una clasificación de acuerdo al nivel de seguridad que presentan.
  • 53. Guı́as de Evaluación II • Inicialmente, el concepto detrás de la confección de una Guı́a de Evaluación, se encuentra ı́ntimamente relacionado con la necesidad por parte de las agencias de seguridad, el gobierno, y las organizaciones privadas, de conocer el nivel o grado de seguridad, existente en los diferentes sistemas, aplicaciones o productos al momento de efectuar una compra o contratación.
  • 54. Trusted Computer Systems Evaluation Criteria I • En 1985 el “National Computer Security Center” (NCSC), desarrolla para el “Departamento de Defensa de los EEUU” (DoD), un conjunto de estándares, los cuales resultan en la creación de TCSEC (Trusted Computer System Evaluation Criteria). • El principal objetivo detrás de la creación de TCSEC es el de proveer al gobierno y entidades relacionadas, con un guı́a que les permitiera evaluar los productos ofrecidos por los diferentes proveedores, para cada uno de los criterios de seguridad especificados. • TCSEC == “Orange Book” • TCSEC provee: • Una base para establecer requisitos de seguridad en las especificaciones de adquisición.
  • 55. Trusted Computer Systems Evaluation Criteria II • Un estándar de los servicios de seguridad que deben ser proporcionados por los vendedores para los diferentes criterios de seguridad existentes. • Una forma de medir la seguridad de un sistema de información. • TCSEC direcciona confidencialidad. No integridad. La funcionalidad de los mecanismos de seguridad y el Assurance de los mismos, NO son evaluados en forma separada.
  • 56. Niveles TCSEC • D - Minimal protection • C - Discretionary Protection • C1 – Usuarios cooperativos que pueden proteger su propia información • C2 – DAC más granular, se puede auditar al usuario/ proceso individualmente (individual accountability) • B - Mandatory Protection (Bell-LaPadula, RM, Security Labels Requeridas) • B1 Labeled Security Protection (Process Isolation!) • B2 Structured Protection (Covert Channels!) • B3 Security Domains • A - Verified Protection (Direcciona seguridad a nivel Top Secret) • A1 Verified Design
  • 57. Information Technology Security Evaluation Criteria • Desarrollado en Europa como estándar único de evaluación de la seguridad en sistemas. • Evalúa Funcionalidad y Seguridad (Assurance) en forma separada. • Effectiveness = Hacen lo que se espera que haga. • Correctiveness = Que tan correcto es el proceso por el cual lo hacen. • Clasificaciones por: • F1-F10 Niveles de Funcionalidad. • E0-E6 Niveles de Assurance. • ITSEC direcciona Integridad, Disponibilidad y Confidencialidad. • ITSEC se ocupa de evaluar sistemas en red mietras que TCSEC solo hace lo propio con sistemas stand-alone.
  • 58. Common Criteria (CC) • Creado por el ISO en 1993. • Creado a partir de TCSEC, ITSEC, Canadian Trusted. Computer Product Evaluation Criteria (CTCPEC) y el Federal Criteria. • Provee mas flexibilidad que TCSEC e ITSEC.
  • 59. Componentes del Common Criteria (CC) • Protection Profile (PP) • Descripción de las necesidades de seguridad de un producto. • Target of Evaluation (TOE) • Producto que se propone evaluar. • Security Target (ST) • Descripción escrita por el proveedor explicando las funcionalidades de seguridad (que hace?) y mecanismos de assurance que cumplen los requerimientos de seguridad (como lo hace?). • Packages – Evaluation Assurance Levels (EAL) • Los requerimientos Funcionales (definen el comportamiento del producto relacionado con la seguridad) y de Assurance (establece el nivel de confianza en el producto) son reunidos en paquetes para ser reutilizados. • Describen los requisitos a cumplir para alcanzar cada nivel EAL especı́fico.
  • 60. Package Ratings – Evaluations Ratings 1 Basic Assurance • EAL 1 Functionally tested • EAL 2 Structurally tested • EAL 3 Methodically tested and checked • EAL 4 Methodically designed, tested and reviewed 2 Medium Assurance • EAL 5 Semiformally designed and tested 3 High Assurance • EAL 6 Semiformally verified design and tested • EAL 7 Formally verified design and tested
  • 61. Temario 1 Arquitectura de Computadoras 2 Mecanismos de protección 3 Modelos formales de seguridad 4 Guı́as de Evaluación 5 Certificación y Acreditación
  • 62. Certificacón y Acreditación Certificación Evaluación técnica mediante la cual se revisan los mecanismos y controles de seguridad, con el objeto de evaluar su efectividad. • La certificación considera al sistema dentro del ambiente operativo. Acreditación Aceptación oficial de los resultados de una certificación. • La acreditación refiere a la decisión oficial de la gerencia relacionada con la operación del sistema en el ambiente especificado.
  • 63. Referencias bibliográficas Improving Web Application Security: Threats and Countermeasures, Mark Curphey. ISO/IEC 27000:2012. Introducción al modelado de amenazas [web page]. Microsoft, Inc. [Visitada en: 27 de septiembre de 2021]. Uso de un marco para identificar amenazas y buscar formas de reducir o eliminar el riesgo [web page]. Microsoft, Inc. [Visitada en: 27 de septiembre de 2021]. STRIDE (seguridad) [web page]. Wikipedia. [Visitada en: 27 de septiembre de 2021]. ¿Qué es una amenaza avanzada persistente (APT)? [web page]. Kaspersky. [Visitada en: 27 de septiembre de 2021]. Chinese Army Unit Is Seen as Tied to Hacking Againist U.S., 2013 [web page]. The New Your Times. [Visitada en: 27 de