• Barajar
    Activar
    Desactivar
  • Alphabetizar
    Activar
    Desactivar
  • Frente Primero
    Activar
    Desactivar
  • Ambos lados
    Activar
    Desactivar
  • Leer
    Activar
    Desactivar
Leyendo...
Frente

Cómo estudiar sus tarjetas

Teclas de Derecha/Izquierda: Navegar entre tarjetas.tecla derechatecla izquierda

Teclas Arriba/Abajo: Colvea la carta entre frente y dorso.tecla abajotecla arriba

Tecla H: Muestra pista (3er lado).tecla h

Tecla N: Lea el texto en voz.tecla n

image

Boton play

image

Boton play

image

Progreso

1/100

Click para voltear

100 Cartas en este set

  • Frente
  • Atrás
La selección de medidas dependen de varios factores como:
-El entorno
-Nuestras expectativas
-El valor de los activos
-El presupuesto
Toda medida de seguridad será un compromiso entre:
-Nivel de protección
-Eficacia
-Facilidad de uso
-Facilidad de gestión
- Coste
El _________________________que conseguimos depende del riesgo que estemos dispuestos a aceptar
Nivel de seguridad
Dentro de la selección de medidas debemos enfocar nuestro trabajo primero a los:
Activos mas valiosos y las amenazas mas probables
La medida de seguridad mas simple es la eliminación de:
Oportunidades
Son ejemplos de medidas que previenen incidentes y por consiguiente disminuyen la vulnerabilidad amenazas conocidas
-Cortafuegos externo
-Candados
-Control de accesos
-Limitaciones horarias
-Reservas de suministro
-Diseño seguro
-Activación solo de los servicios necesarios
Son ejemplos de medidas que disminuyen el impacto y por tanto protegen tanto contra amenazas previsibles como imprevisibles
-RAID
-Copia de respaldo
-Centro de respaldo
-Líneas de comunicación redundantes
-DMZ
Son ejemplos de medidas de seguridad que mejoran la seguridad indirectamente:
-Medidas de gestión de incidentes
-Auditorias periódicas
-Selección de personal de seguridad por especialistas
-sistema de detección de intrusiones
Los cortafuegos parchean problemas de diseño como:
Falta de correspondencia biunívoca entre una maquina y una dirección IP
Para proteger las expectativas, en la fase de toma de requisitos debemos examinar tanto los requisitos funcionales como:
-Requisitos de control de acceso
-Requisitos de fiabilidad
-Requisitos de secreto
Existen errores en el software que facilitan el accesos no autorizados al sistema, usando programas como:
Exploits
Es el tipo de software donde todos los usuarios pueden examinar el código fuente
Software Libre
Cuando los requerimientos de seguridad son especialmente altos el uso de código ___________________ es inaceptable
Propietario
En este paso de debe añadir a todos los requisitos derivados de la funcionalidad del proyecto, los requisitos de seguridad que se deriven de las expectativas de la organización ante el sistema
Análisis
En este paso se deben de seleccionar las técnicas y tecnologías mas adecuadas para cumplir con los requerimientos de seguridad que se deducen del análisis
Diseño
Las funciones deben identificar siempre que sea posible al actor que ha desencadenado el evento
Autentificar al actor
Las funciones deben de dar al actor identificado los derechos predefinidos
Autorizar al actor
A priori cualquier actor debe tener derechos nulos o mínimos a menos que se le autorice lo contrario
Minimizar los privilegios
Debe dejarse evidencia de todos los intentos de autenticación tanto los exitosos como los fallidos . En el log debe incluirse almenos:
-Usuario
-Dirección de origen
-Fecha y hora
-Recursos a los que se quiere acceder
-Derecho que se pretendía ejercer sobre el recurso
Implica evitar todas las prácticas de programación que conducen a debilidades en el software
Construcción de un software seguro
Son unas de las practicas de programación que conducen a debilidades en el software
-Validar o limpiar todas las entradas
-Evitar el desbordamiento de la pila
Esta practica considera como entradas cualquier información, sea la introducida por el usuario o bien nombres de archivos, variables de entorno, URLs, HTML, XML, etc.
Validar o limitar todas las entradas
Validad que las entradas a cada función son correctas previene:
-Desbordamiento de pila
-Comportamientos no predecibles de la función
Se debe comprobar que la entrada tiene
-Valores y longitud manejables
-Esta correctamente expresada en la codificación esperada
Esta práctica tiene los mismos efectos que validar todas las entradas
Inicializar las variables
Tanto al almacenar como al transmitir la información o enviar un mensaje, debemos utilizar los mejores __________________existentes en el mercado.
Algoritmos de cifrado
Cuando la información guardada sea suficientemente importante debemos introducir mecanismos de firma que garanticen que esta no se ha modificado entre el momento que se almacenó y el momento en que se utiliza
Comprobar la integridad de la información
Consiste en garantizar que una unidad de información ha desaparecido del sistema una vez haya sido utilizada.
Borrar efectivamente la información cuando deja de utilizarse
Consiste en estudiar las características de seguridad de los lenguajes utilizados y no utilizar las palabras claves o expresiones reconocidas como vulnerables
No utilizar comandos vulnerables del lenguaje elegido
Incluir en el plan de pruebas especificas de seguridad y examinar la integridad de:
Los componentes y el código
Practica que consiste que en caso de un error previsto, el programa debe terminar registrando en un log la razón del error
Lanzar una excepción cuando se produzca un error
En las pruebas se debe considerar:
-El comportamiento esperado
-Fallos esperados del comportamiento habitual
Para probar la seguridad de la aplicación también podemos:
-Denegar acceso a archivos, librerías, variables de entorno y otros recursos necesarios
En la _____________________del software debemos asegurarnos de que este no es modificado respecto al código que hemos probado.
Implantación
Los archivos de configuración de la aplicación sólo deben ser modificables por ___________________
Los administradores del sistema
Son los cuatro tipo de mantenimiento
-Correctivo
-Perfectivo
-Evolutivo
-Adaptativo
El parcheo que se realiza en sistemas operativos y aplicaciones para tapar los agujeros de seguridad que se van descubriendo se considera como mantenimiento
Correctivo
También se descubren con frecuencia defectos en la mayor parte de las medidas de seguridad basadas en software. Este es el motivo por el que una medida de seguridad robusta no debe basarse en:
El conocimiento de la existencia o de la naturaleza de esta
Se utiliza redundancia para:
-Eliminar los puntos únicos de fallo
-Para emplear de forma fiable canales o medios que son inherentes
Minimiza el impacto de un incidente pero no disminuye la vulnerabilidad del sistema ante cualquier amenaza
La redundancia
Un clúster con fail-over es un ejemplo del uso del uso de redundancia. Su tiempo de recuperación suele ser de pocos minutos
Proceso
Las copias de seguridad suponen un empleo de redundancia de la información, siempre que haya una copia válida de la información disponible
Almacenamiento
Una lÍnea RDSI puede usarse como respaldo de una linea Frame-relay
Comunicación
Consiste básicamente en la capacidad de controlar y conocer quien y cuando gana acceso
Control de acceso lógico y físico
Un control de acceso bien aplicado nos permite:
-Saber quien ha hecho que, donde cuando
-Controlar quien puede hacer que, donde y cuando
Es el control de acceso a discreción, en el que un usuario puede conceder y denegar accesos a los activos de que es propietario
DAC
Es el control de accesos obligatorios, en el que sólo el administrador pude gestionar los accesos
MAC
Es una mescla entre DAC y MAC y basa los accesos que podemos gestionar en el rol que tenemos en el sistema
RBAC
Es un refinamiento de DAC, por el que podemos mejorar la granularidad de derechos que concedemos a nuestros activos
ACL
Es el actor que en origen lo haya creado o adquirido, poseyendo legítimamente todos los derechos sobre ese activo
Propietario de los activos
Es el propietario de los recursos de los sistemas de información sobre los que se soporta la información
Administrador
Se encarga de proporcionar acceso a los recursos al resto de los actores
Administrador
Es la identidad efectiva ante el sistema de un actor que accede a los activos a través de sesiones
Cuenta de usuario
El actor que crea un activo
Autor
Es la propietaria de las credenciales de los sistemas, es el autor que gestiona el registro de usuarios junto con sus credenciales y los derechos sobre los activos en nombre de los propietarios
Autoridad
Es el medio por el que el usuario gana acceso a un activo, como puede ser información o un activo
Sesiones
Es el conjunto de accesos que un actor realiza desde que se le autentica y autoriza en el sistema
Sesión
Facilita un histórico del uso y propiedad de los activos, lo que permite una investigación de incidentes efectiva
Registro de acceso
Se utiliza para verificar la identidad en un momento dado de un actor. Esta verificación de identidad se conoce como:
Autenticación
Es la prueba presentada que podemos utilizar una identidad efectiva, normalmente llamada cuenta de usuario
Medio de autenticación
Esta compuesta por una cuenta de usuario y medio de autentificación
La credencial
Mediante un _____________________de usuarios, perfiles y credenciales se simplifica a gestión de accesos. Tanto para los administradores como para los usuarios
Registro centralizado
La clasificación de información, en su versión mas simple, puede ser:
-Confidencial
-Sensible
-Privada
-Pública
Es la capacidad concedida o denegada a un usuario de acceder a un activo, que puede ser información o un servicio
Derecho
Derechos que permiten modificar los derechos de terceros sobre activos
Privilegio
Limitaciones genéricas , como "solo lectura", de acceso a un servicio o información
Permiso
El conjunto de derechos concedidos y denegados a un usuario dependiendo de su rol en la organización
Perfil de acceso
Es la meta-información acerca del activo, entre ella su:
-identidad
-sus atributos
-los recursos que aporta
-y las limitaciones de acceso
Las etiquetas
Es una partición física, técnica y organizativa de la organización
Zonas
Es una operación reversible por la que convertimos un mensaje en un conjunto de datos cuasi aleatorios, como entradas de esta operación se utilizan el mensaje y la clave
Cifrar
En este tipo de cifrado se utiliza la misma contraseña para cifrar y descifrar el mensaje
Cifrado simétrico
En este tipo de cifrado se utiliza una contraseña para cifrar y otra diferente para descifrar el mensaje
Cifrado asimétrico
Es la ocultación de un mensaje secreto dentro de otro mensaje secreto
Esteganografía
Consiste en hacernos indistinguibles del entorno, mimetizándonos o bien modificando el entorno
Camuflaje
Esta técnica consiste en almacenar suficiente cantidad de un suministro para soportar la interrupción de este durante un tiempo razonable
La técnica de Reserva
Consiste en la transferencia de un riesgo a una tercera parte a través de la suscripción de una póliza para obtener una contraprestación económica en caso de producirse un incidente
Seguros
Consiste en la identificación de nuestros activos físicos, normalmente mediante algún tipo de marca
Inventario y marcado
Es la técnica que se utiliza para asegurar que un activo no vigilado
-continuará ahí cuando volvamos
-que continuará en buen estado y
-que nadie a conseguido acceso a través de él
Blindaje
Estas políticas de seguridad describen los principios de alto nivel que describen los objetivos y las características
Políticas de seguridad efectiva
Desarrollan las estrategias describiendo el ámbito de aplicación (donde y cuando) de las prácticas de seguridad
Normas de seguridad
Desarrollan las normas con especificaciones concretas, aplicables a ámbitos específicos de cumplimiento objetivamente comprobables
Los estándares
Desarrollan los estándares y las normas describiendo paso a paso quién y cómo se ejerce la práctica
Los procedimientos
Informan a los usuarios de sus obligaciones al utilizar los sistemas de organización
Las normas de uso aceptable
Definen compromisos mutuos de seguridad en las fronteras de la organización
Los acuerdos con terceros
Las __________________define la relación de una zona con las demás, cubriendo la comunicación de los activos y la transferencia de propiedad
Normas de seguridad
Garantizan la existencia a largo plazo de la organización, siendo el instrumento por el cual protegeremos la organización de la situación de peor caso
Planes de continuidad de operaciones
Mejoran la seguridad al definir y proteger nuestras relaciones tanto dentro de la organización como fuera de ella
Medidas legales
Es un dispositivo que filtra los mensajes o conexiones que pasan a través de el. Esta verificación puede producirse a cualquiera de los niveles de la torre OSI
Cortafuegos
Es una matriz de discos baratos, vistos como uno solo por el sistema operativo
RAID
-Concatenación de discos que se ve como uno
-No hay distribución de la información y por tanto no es un autentico RAID
-Aumenta la velocidad de lectura del disco lógico resultante
RAID NIVEL 0
-Dos discos contienen idéntica información
-Tienen la importante desventaja de que suele ser difícil determinar que un disco contiene información valida y para determinarlo puede ser necesario interrumpir la operación del sistema
-se conoce como mirror
RAID NIVEL 1
-La información se distribuye bit a bit entre 39 discos con paridad tipo Hamming
-Se usa con muy poca frecuencia
-
RAID NIVEL 2
-La información se distribuye byte a byte entre tres o más discos, dedicado uno a almacenar la paridad
RAID NIVEL 3
La información se distribuye bloque a bloque entre tres o más discos, dedicando uno a almacenar la paridad
RAID NIVEL 4
Concatenación de RAID de nivel 1 , resulta un RAID-1 más rápido
RAID NIVEL 1+0 o 10
Permite continuar la conexión a pesar de la caída de una línea
Conexiones redundantes
Son un conjunto de de dos o más host que proporcionan un conjunto de servicios de forma solidaria . Debido a esto necesitan acceso a un repositorio de información común
Cluster
Copia de respaldo, es una de las tecnologías más efectivas para reducir el impacto de incidentes
Backup
Son la clave de cualquier sistema de control de accesos en entornos medianos y grandes
Directorios
Los principales directorios actualmente son:
-LDAP
-Active Directory
-eDirectory