- Barajar
ActivarDesactivar
- Alphabetizar
ActivarDesactivar
- Frente Primero
ActivarDesactivar
- Ambos lados
ActivarDesactivar
- Leer
ActivarDesactivar
Leyendo...
Cómo estudiar sus tarjetas
Teclas de Derecha/Izquierda: Navegar entre tarjetas.tecla derechatecla izquierda
Teclas Arriba/Abajo: Colvea la carta entre frente y dorso.tecla abajotecla arriba
Tecla H: Muestra pista (3er lado).tecla h
Tecla N: Lea el texto en voz.tecla n
Boton play
Boton play
100 Cartas en este set
- Frente
- Atrás
La selección de medidas dependen de varios factores como:
|
-El entorno
-Nuestras expectativas -El valor de los activos -El presupuesto |
Toda medida de seguridad será un compromiso entre:
|
-Nivel de protección
-Eficacia -Facilidad de uso -Facilidad de gestión - Coste |
El _________________________que conseguimos depende del riesgo que estemos dispuestos a aceptar
|
Nivel de seguridad
|
Dentro de la selección de medidas debemos enfocar nuestro trabajo primero a los:
|
Activos mas valiosos y las amenazas mas probables
|
La medida de seguridad mas simple es la eliminación de:
|
Oportunidades
|
Son ejemplos de medidas que previenen incidentes y por consiguiente disminuyen la vulnerabilidad amenazas conocidas
|
-Cortafuegos externo
-Candados -Control de accesos -Limitaciones horarias -Reservas de suministro -Diseño seguro -Activación solo de los servicios necesarios |
Son ejemplos de medidas que disminuyen el impacto y por tanto protegen tanto contra amenazas previsibles como imprevisibles
|
-RAID
-Copia de respaldo -Centro de respaldo -Líneas de comunicación redundantes -DMZ |
Son ejemplos de medidas de seguridad que mejoran la seguridad indirectamente:
|
-Medidas de gestión de incidentes
-Auditorias periódicas -Selección de personal de seguridad por especialistas -sistema de detección de intrusiones |
Los cortafuegos parchean problemas de diseño como:
|
Falta de correspondencia biunívoca entre una maquina y una dirección IP
|
Para proteger las expectativas, en la fase de toma de requisitos debemos examinar tanto los requisitos funcionales como:
|
-Requisitos de control de acceso
-Requisitos de fiabilidad -Requisitos de secreto |
Existen errores en el software que facilitan el accesos no autorizados al sistema, usando programas como:
|
Exploits
|
Es el tipo de software donde todos los usuarios pueden examinar el código fuente
|
Software Libre
|
Cuando los requerimientos de seguridad son especialmente altos el uso de código ___________________ es inaceptable
|
Propietario
|
En este paso de debe añadir a todos los requisitos derivados de la funcionalidad del proyecto, los requisitos de seguridad que se deriven de las expectativas de la organización ante el sistema
|
Análisis
|
En este paso se deben de seleccionar las técnicas y tecnologías mas adecuadas para cumplir con los requerimientos de seguridad que se deducen del análisis
|
Diseño
|
Las funciones deben identificar siempre que sea posible al actor que ha desencadenado el evento
|
Autentificar al actor
|
Las funciones deben de dar al actor identificado los derechos predefinidos
|
Autorizar al actor
|
A priori cualquier actor debe tener derechos nulos o mínimos a menos que se le autorice lo contrario
|
Minimizar los privilegios
|
Debe dejarse evidencia de todos los intentos de autenticación tanto los exitosos como los fallidos . En el log debe incluirse almenos:
|
-Usuario
-Dirección de origen -Fecha y hora -Recursos a los que se quiere acceder -Derecho que se pretendía ejercer sobre el recurso |
Implica evitar todas las prácticas de programación que conducen a debilidades en el software
|
Construcción de un software seguro
|
Son unas de las practicas de programación que conducen a debilidades en el software
|
-Validar o limpiar todas las entradas
-Evitar el desbordamiento de la pila |
Esta practica considera como entradas cualquier información, sea la introducida por el usuario o bien nombres de archivos, variables de entorno, URLs, HTML, XML, etc.
|
Validar o limitar todas las entradas
|
Validad que las entradas a cada función son correctas previene:
|
-Desbordamiento de pila
-Comportamientos no predecibles de la función |
Se debe comprobar que la entrada tiene
|
-Valores y longitud manejables
-Esta correctamente expresada en la codificación esperada |
Esta práctica tiene los mismos efectos que validar todas las entradas
|
Inicializar las variables
|
Tanto al almacenar como al transmitir la información o enviar un mensaje, debemos utilizar los mejores __________________existentes en el mercado.
|
Algoritmos de cifrado
|
Cuando la información guardada sea suficientemente importante debemos introducir mecanismos de firma que garanticen que esta no se ha modificado entre el momento que se almacenó y el momento en que se utiliza
|
Comprobar la integridad de la información
|
Consiste en garantizar que una unidad de información ha desaparecido del sistema una vez haya sido utilizada.
|
Borrar efectivamente la información cuando deja de utilizarse
|
Consiste en estudiar las características de seguridad de los lenguajes utilizados y no utilizar las palabras claves o expresiones reconocidas como vulnerables
|
No utilizar comandos vulnerables del lenguaje elegido
|
Incluir en el plan de pruebas especificas de seguridad y examinar la integridad de:
|
Los componentes y el código
|
Practica que consiste que en caso de un error previsto, el programa debe terminar registrando en un log la razón del error
|
Lanzar una excepción cuando se produzca un error
|
En las pruebas se debe considerar:
|
-El comportamiento esperado
-Fallos esperados del comportamiento habitual |
Para probar la seguridad de la aplicación también podemos:
|
-Denegar acceso a archivos, librerías, variables de entorno y otros recursos necesarios
|
En la _____________________del software debemos asegurarnos de que este no es modificado respecto al código que hemos probado.
|
Implantación
|
Los archivos de configuración de la aplicación sólo deben ser modificables por ___________________
|
Los administradores del sistema
|
Son los cuatro tipo de mantenimiento
|
-Correctivo
-Perfectivo -Evolutivo -Adaptativo |
El parcheo que se realiza en sistemas operativos y aplicaciones para tapar los agujeros de seguridad que se van descubriendo se considera como mantenimiento
|
Correctivo
|
También se descubren con frecuencia defectos en la mayor parte de las medidas de seguridad basadas en software. Este es el motivo por el que una medida de seguridad robusta no debe basarse en:
|
El conocimiento de la existencia o de la naturaleza de esta
|
Se utiliza redundancia para:
|
-Eliminar los puntos únicos de fallo
-Para emplear de forma fiable canales o medios que son inherentes |
Minimiza el impacto de un incidente pero no disminuye la vulnerabilidad del sistema ante cualquier amenaza
|
La redundancia
|
Un clúster con fail-over es un ejemplo del uso del uso de redundancia. Su tiempo de recuperación suele ser de pocos minutos
|
Proceso
|
Las copias de seguridad suponen un empleo de redundancia de la información, siempre que haya una copia válida de la información disponible
|
Almacenamiento
|
Una lÍnea RDSI puede usarse como respaldo de una linea Frame-relay
|
Comunicación
|
Consiste básicamente en la capacidad de controlar y conocer quien y cuando gana acceso
|
Control de acceso lógico y físico
|
Un control de acceso bien aplicado nos permite:
|
-Saber quien ha hecho que, donde cuando
-Controlar quien puede hacer que, donde y cuando |
Es el control de acceso a discreción, en el que un usuario puede conceder y denegar accesos a los activos de que es propietario
|
DAC
|
Es el control de accesos obligatorios, en el que sólo el administrador pude gestionar los accesos
|
MAC
|
Es una mescla entre DAC y MAC y basa los accesos que podemos gestionar en el rol que tenemos en el sistema
|
RBAC
|
Es un refinamiento de DAC, por el que podemos mejorar la granularidad de derechos que concedemos a nuestros activos
|
ACL
|
Es el actor que en origen lo haya creado o adquirido, poseyendo legítimamente todos los derechos sobre ese activo
|
Propietario de los activos
|
Es el propietario de los recursos de los sistemas de información sobre los que se soporta la información
|
Administrador
|
Se encarga de proporcionar acceso a los recursos al resto de los actores
|
Administrador
|
Es la identidad efectiva ante el sistema de un actor que accede a los activos a través de sesiones
|
Cuenta de usuario
|
El actor que crea un activo
|
Autor
|
Es la propietaria de las credenciales de los sistemas, es el autor que gestiona el registro de usuarios junto con sus credenciales y los derechos sobre los activos en nombre de los propietarios
|
Autoridad
|
Es el medio por el que el usuario gana acceso a un activo, como puede ser información o un activo
|
Sesiones
|
Es el conjunto de accesos que un actor realiza desde que se le autentica y autoriza en el sistema
|
Sesión
|
Facilita un histórico del uso y propiedad de los activos, lo que permite una investigación de incidentes efectiva
|
Registro de acceso
|
Se utiliza para verificar la identidad en un momento dado de un actor. Esta verificación de identidad se conoce como:
|
Autenticación
|
Es la prueba presentada que podemos utilizar una identidad efectiva, normalmente llamada cuenta de usuario
|
Medio de autenticación
|
Esta compuesta por una cuenta de usuario y medio de autentificación
|
La credencial
|
Mediante un _____________________de usuarios, perfiles y credenciales se simplifica a gestión de accesos. Tanto para los administradores como para los usuarios
|
Registro centralizado
|
La clasificación de información, en su versión mas simple, puede ser:
|
-Confidencial
-Sensible -Privada -Pública |
Es la capacidad concedida o denegada a un usuario de acceder a un activo, que puede ser información o un servicio
|
Derecho
|
Derechos que permiten modificar los derechos de terceros sobre activos
|
Privilegio
|
Limitaciones genéricas , como "solo lectura", de acceso a un servicio o información
|
Permiso
|
El conjunto de derechos concedidos y denegados a un usuario dependiendo de su rol en la organización
|
Perfil de acceso
|
Es la meta-información acerca del activo, entre ella su:
-identidad -sus atributos -los recursos que aporta -y las limitaciones de acceso |
Las etiquetas
|
Es una partición física, técnica y organizativa de la organización
|
Zonas
|
Es una operación reversible por la que convertimos un mensaje en un conjunto de datos cuasi aleatorios, como entradas de esta operación se utilizan el mensaje y la clave
|
Cifrar
|
En este tipo de cifrado se utiliza la misma contraseña para cifrar y descifrar el mensaje
|
Cifrado simétrico
|
En este tipo de cifrado se utiliza una contraseña para cifrar y otra diferente para descifrar el mensaje
|
Cifrado asimétrico
|
Es la ocultación de un mensaje secreto dentro de otro mensaje secreto
|
Esteganografía
|
Consiste en hacernos indistinguibles del entorno, mimetizándonos o bien modificando el entorno
|
Camuflaje
|
Esta técnica consiste en almacenar suficiente cantidad de un suministro para soportar la interrupción de este durante un tiempo razonable
|
La técnica de Reserva
|
Consiste en la transferencia de un riesgo a una tercera parte a través de la suscripción de una póliza para obtener una contraprestación económica en caso de producirse un incidente
|
Seguros
|
Consiste en la identificación de nuestros activos físicos, normalmente mediante algún tipo de marca
|
Inventario y marcado
|
Es la técnica que se utiliza para asegurar que un activo no vigilado
-continuará ahí cuando volvamos -que continuará en buen estado y -que nadie a conseguido acceso a través de él |
Blindaje
|
Estas políticas de seguridad describen los principios de alto nivel que describen los objetivos y las características
|
Políticas de seguridad efectiva
|
Desarrollan las estrategias describiendo el ámbito de aplicación (donde y cuando) de las prácticas de seguridad
|
Normas de seguridad
|
Desarrollan las normas con especificaciones concretas, aplicables a ámbitos específicos de cumplimiento objetivamente comprobables
|
Los estándares
|
Desarrollan los estándares y las normas describiendo paso a paso quién y cómo se ejerce la práctica
|
Los procedimientos
|
Informan a los usuarios de sus obligaciones al utilizar los sistemas de organización
|
Las normas de uso aceptable
|
Definen compromisos mutuos de seguridad en las fronteras de la organización
|
Los acuerdos con terceros
|
Las __________________define la relación de una zona con las demás, cubriendo la comunicación de los activos y la transferencia de propiedad
|
Normas de seguridad
|
Garantizan la existencia a largo plazo de la organización, siendo el instrumento por el cual protegeremos la organización de la situación de peor caso
|
Planes de continuidad de operaciones
|
Mejoran la seguridad al definir y proteger nuestras relaciones tanto dentro de la organización como fuera de ella
|
Medidas legales
|
Es un dispositivo que filtra los mensajes o conexiones que pasan a través de el. Esta verificación puede producirse a cualquiera de los niveles de la torre OSI
|
Cortafuegos
|
Es una matriz de discos baratos, vistos como uno solo por el sistema operativo
|
RAID
|
-Concatenación de discos que se ve como uno
-No hay distribución de la información y por tanto no es un autentico RAID -Aumenta la velocidad de lectura del disco lógico resultante |
RAID NIVEL 0
|
-Dos discos contienen idéntica información
-Tienen la importante desventaja de que suele ser difícil determinar que un disco contiene información valida y para determinarlo puede ser necesario interrumpir la operación del sistema -se conoce como mirror |
RAID NIVEL 1
|
-La información se distribuye bit a bit entre 39 discos con paridad tipo Hamming
-Se usa con muy poca frecuencia - |
RAID NIVEL 2
|
-La información se distribuye byte a byte entre tres o más discos, dedicado uno a almacenar la paridad
|
RAID NIVEL 3
|
La información se distribuye bloque a bloque entre tres o más discos, dedicando uno a almacenar la paridad
|
RAID NIVEL 4
|
Concatenación de RAID de nivel 1 , resulta un RAID-1 más rápido
|
RAID NIVEL 1+0 o 10
|
Permite continuar la conexión a pesar de la caída de una línea
|
Conexiones redundantes
|
Son un conjunto de de dos o más host que proporcionan un conjunto de servicios de forma solidaria . Debido a esto necesitan acceso a un repositorio de información común
|
Cluster
|
Copia de respaldo, es una de las tecnologías más efectivas para reducir el impacto de incidentes
|
Backup
|
Son la clave de cualquier sistema de control de accesos en entornos medianos y grandes
|
Directorios
|
Los principales directorios actualmente son:
|
-LDAP
-Active Directory -eDirectory |