Proteccioacuten de Activos

Martin Valdivia

CISA CISM CCISO ISMS-LA ITIL-F CLOUD-F ISO 27002CISCS

Asegurar que el alumno tenga el conocimiento

para evaluar la seguridad loacutegica ambiental y de

la infraestructura de TI para determinar si la

seguridad implantada satisface los

requerimientos de negocio de la empresa para

la salvaguarda de los activos de informacioacuten

O bjetivo

3

Clase Anterior

bull Operacioacutenes

bull Infraestructura

bull Auditoria de Operaciones e Infraestructura

bull Importancia de la Administracioacuten de la Seguridad de la Informacioacuten

bullExposiciones y Controles sobre el Acceso Loacutegico

bullExposiciones y Controles Ambientales

bullExposiciones y Controles sobre el Acceso Fiacutesico

bullAuditoria a la Seguridad de la Informacioacuten

iquestQueacute es la Seguridad

bull La situacioacuten oacute estado de algo que se

adquiere al estar libre de riesgo o peligro

Seg de la Informacioacuten y Seg Informaacutetica

Seg de la Informacioacuten

Seg Informaacutetica

Objetivos de Seguridad de la Informacioacuten

Confidencialidad

Disponibilidad Integridad

Asegurar que el alumno tenga el conocimiento

para evaluar la seguridad loacutegica ambiental y de

la infraestructura de TI para determinar si la

seguridad implantada satisface los

requerimientos de negocio de la empresa para

la salvaguarda de los activos de informacioacuten

O bjetivo

3

Clase Anterior

bull Operacioacutenes

bull Infraestructura

bull Auditoria de Operaciones e Infraestructura

bull Importancia de la Administracioacuten de la Seguridad de la Informacioacuten

bullExposiciones y Controles sobre el Acceso Loacutegico

bullExposiciones y Controles Ambientales

bullExposiciones y Controles sobre el Acceso Fiacutesico

bullAuditoria a la Seguridad de la Informacioacuten

iquestQueacute es la Seguridad

bull La situacioacuten oacute estado de algo que se

adquiere al estar libre de riesgo o peligro

Seg de la Informacioacuten y Seg Informaacutetica

Seg de la Informacioacuten

Seg Informaacutetica

Objetivos de Seguridad de la Informacioacuten

Confidencialidad

Disponibilidad Integridad

3

Clase Anterior

bull Operacioacutenes

bull Infraestructura

bull Auditoria de Operaciones e Infraestructura

bull Importancia de la Administracioacuten de la Seguridad de la Informacioacuten

bullExposiciones y Controles sobre el Acceso Loacutegico

bullExposiciones y Controles Ambientales

bullExposiciones y Controles sobre el Acceso Fiacutesico

bullAuditoria a la Seguridad de la Informacioacuten

iquestQueacute es la Seguridad

bull La situacioacuten oacute estado de algo que se

adquiere al estar libre de riesgo o peligro

Seg de la Informacioacuten y Seg Informaacutetica

Seg de la Informacioacuten

Seg Informaacutetica

Objetivos de Seguridad de la Informacioacuten

Confidencialidad

Disponibilidad Integridad

bull Importancia de la Administracioacuten de la Seguridad de la Informacioacuten

bullExposiciones y Controles sobre el Acceso Loacutegico

bullExposiciones y Controles Ambientales

bullExposiciones y Controles sobre el Acceso Fiacutesico

bullAuditoria a la Seguridad de la Informacioacuten

iquestQueacute es la Seguridad

bull La situacioacuten oacute estado de algo que se

adquiere al estar libre de riesgo o peligro

Seg de la Informacioacuten y Seg Informaacutetica

Seg de la Informacioacuten

Seg Informaacutetica

Objetivos de Seguridad de la Informacioacuten

Confidencialidad

Disponibilidad Integridad

iquestQueacute es la Seguridad

bull La situacioacuten oacute estado de algo que se

adquiere al estar libre de riesgo o peligro

Seg de la Informacioacuten y Seg Informaacutetica

Seg de la Informacioacuten

Seg Informaacutetica

Objetivos de Seguridad de la Informacioacuten

Confidencialidad

Disponibilidad Integridad

Seg de la Informacioacuten y Seg Informaacutetica

Seg de la Informacioacuten

Seg Informaacutetica

Objetivos de Seguridad de la Informacioacuten

Confidencialidad

Disponibilidad Integridad

Objetivos de Seguridad de la Informacioacuten

Confidencialidad

Disponibilidad Integridad

Confidencialidad La informacioacuten es accedida

soacutelo por las personas

autorizadas

Integridad Exactitud y totalidad de la informacioacuten

DISPONIBILIDAD Acceso a la informacioacuten cuando se

necesita

Funcionalidad vs Proteccioacuten

bull Compromiso de la Alta Gerencia

bull Poliacuteticas Normas y Procedimientos

bull Organizacioacuten

bull Educacioacuten

bull Monitoreo

bull Manejo de Incidentes

Factores criacuteticos de eacutexito

Roles y responsabilidades

bull Comiteacute directivo de seguridad de SI bull Gerencia Ejecutiva bull Grupo asesor de seguridad bull Director de Privacidad (Chief privacy officer - CPO) bull Director de Seguridad (Chief security officer - CSO) bull Duentildeos de procesos bull Propietarios de los activos de informacioacuten y de los

datos bull Usuarios bull Terceras partes (External parties) bull Especialistas Asesores en seguridad bull Desarrolladores de SI bull Auditores de SI

Inventario de activos de informacioacuten

bull Clara identificacioacuten de los activos

bull Localizacioacuten

bull Clasificacioacuten de seguridad riesgo

bull Grupo de activos

bull Propietario

Clasificacioacuten de los datos

Es una medida de control que define

bull Quieacuten tiene derechos de acceso

bull Quieacuten es responsable de determinar los

derechos y niveles de acceso

bull Cuaacuteles son las aprobaciones necesarias

para el acceso

Acceso Loacutegico

Los controles de acceso loacutegico son el primer

medio usado para administrar y proteger los

activos de informacioacuten

Defensa contra

bullHackers Crackers

bullEmpleados (autorizados o no)

bullAntiguos empleados

bullTerceros interesados

bullPersonal temporal o Part-time

bullProveedores y consultores

bull Ignorante por accidente

Exposiciones de acceso loacutegico

bullCaballos de troya

bullRedondeo para abajo

bullTeacutecnicas del salami

bullVirus

bullGusanos

bullBombas loacutegicas

bullPuertas falsas

bullDenegacioacuten de

servicio

bullPiggybacking

Acceso

Flujo de

informacioacuten

entre un

sujeto y un

objeto

Criterios de Acceso

ndash Logicamente o fisicamente

ndash En base a la Necesidad-de-saber

ndash Cuatro niveles de seguridad (redes

plataformas bases de datos y aplicaciones)

ndash Revisiones de autorizacioacuten de acceso

Fases de Control

de Acceso

bull Autorizacioacuten

bull Autenticacioacuten

bull Identificacioacuten

bull Identificacioacuten ndash Login ID

iquest Que es lo que soy

iquest Que es lo que tengo

iquest Que es lo que se

Autenticacioacuten

Contrasentildeas

Contrasentildeas

Tokens

Autorizacioacuten

Control de acceso loacutegico

bull Identificacioacuten y autenticacioacuten

bullRestriccioacuten de logon IDs a terminales y horarios

especiacuteficos

bullEstablecer reglas de acceso para los recursos de

informacioacuten especiacuteficos

bullCrear responsabilidades y auditabilidad individual

bullCrear o modificar perfiles de usuario

bullRegistrar los eventos en bitaacutecora

bullCapacidades de reporte

Tipos

Criptografiacutea simeacutetrica

Integridad Exactitud y totalidad de la informacioacuten

DISPONIBILIDAD Acceso a la informacioacuten cuando se

necesita

Funcionalidad vs Proteccioacuten

bull Compromiso de la Alta Gerencia

bull Poliacuteticas Normas y Procedimientos

bull Organizacioacuten

bull Educacioacuten

bull Monitoreo

bull Manejo de Incidentes

Factores criacuteticos de eacutexito

Roles y responsabilidades

bull Comiteacute directivo de seguridad de SI bull Gerencia Ejecutiva bull Grupo asesor de seguridad bull Director de Privacidad (Chief privacy officer - CPO) bull Director de Seguridad (Chief security officer - CSO) bull Duentildeos de procesos bull Propietarios de los activos de informacioacuten y de los

datos bull Usuarios bull Terceras partes (External parties) bull Especialistas Asesores en seguridad bull Desarrolladores de SI bull Auditores de SI

Inventario de activos de informacioacuten

bull Clara identificacioacuten de los activos

bull Localizacioacuten

bull Clasificacioacuten de seguridad riesgo

bull Grupo de activos

bull Propietario

Clasificacioacuten de los datos

Es una medida de control que define

bull Quieacuten tiene derechos de acceso

bull Quieacuten es responsable de determinar los

derechos y niveles de acceso

bull Cuaacuteles son las aprobaciones necesarias

para el acceso

Acceso Loacutegico

Los controles de acceso loacutegico son el primer

medio usado para administrar y proteger los

activos de informacioacuten

Defensa contra

bullHackers Crackers

bullEmpleados (autorizados o no)

bullAntiguos empleados

bullTerceros interesados

bullPersonal temporal o Part-time

bullProveedores y consultores

bull Ignorante por accidente

Exposiciones de acceso loacutegico

bullCaballos de troya

bullRedondeo para abajo

bullTeacutecnicas del salami

bullVirus

bullGusanos

bullBombas loacutegicas

bullPuertas falsas

bullDenegacioacuten de

servicio

bullPiggybacking

Acceso

Flujo de

informacioacuten

entre un

sujeto y un

objeto

Criterios de Acceso

ndash Logicamente o fisicamente

ndash En base a la Necesidad-de-saber

ndash Cuatro niveles de seguridad (redes

plataformas bases de datos y aplicaciones)

ndash Revisiones de autorizacioacuten de acceso

Fases de Control

de Acceso

bull Autorizacioacuten

bull Autenticacioacuten

bull Identificacioacuten

bull Identificacioacuten ndash Login ID

iquest Que es lo que soy

iquest Que es lo que tengo

iquest Que es lo que se

Autenticacioacuten

Contrasentildeas

Contrasentildeas

Tokens

Autorizacioacuten

Control de acceso loacutegico

bull Identificacioacuten y autenticacioacuten

bullRestriccioacuten de logon IDs a terminales y horarios

especiacuteficos

bullEstablecer reglas de acceso para los recursos de

informacioacuten especiacuteficos

bullCrear responsabilidades y auditabilidad individual

bullCrear o modificar perfiles de usuario

bullRegistrar los eventos en bitaacutecora

bullCapacidades de reporte

Tipos

Criptografiacutea simeacutetrica

DISPONIBILIDAD Acceso a la informacioacuten cuando se

necesita

Funcionalidad vs Proteccioacuten

bull Compromiso de la Alta Gerencia

bull Poliacuteticas Normas y Procedimientos

bull Organizacioacuten

bull Educacioacuten

bull Monitoreo

bull Manejo de Incidentes

Factores criacuteticos de eacutexito

Roles y responsabilidades

bull Comiteacute directivo de seguridad de SI bull Gerencia Ejecutiva bull Grupo asesor de seguridad bull Director de Privacidad (Chief privacy officer - CPO) bull Director de Seguridad (Chief security officer - CSO) bull Duentildeos de procesos bull Propietarios de los activos de informacioacuten y de los

datos bull Usuarios bull Terceras partes (External parties) bull Especialistas Asesores en seguridad bull Desarrolladores de SI bull Auditores de SI

Inventario de activos de informacioacuten

bull Clara identificacioacuten de los activos

bull Localizacioacuten

bull Clasificacioacuten de seguridad riesgo

bull Grupo de activos

bull Propietario

Clasificacioacuten de los datos

Es una medida de control que define

bull Quieacuten tiene derechos de acceso

bull Quieacuten es responsable de determinar los

derechos y niveles de acceso

bull Cuaacuteles son las aprobaciones necesarias

para el acceso

Acceso Loacutegico

Los controles de acceso loacutegico son el primer

medio usado para administrar y proteger los

activos de informacioacuten

Defensa contra

bullHackers Crackers

bullEmpleados (autorizados o no)

bullAntiguos empleados

bullTerceros interesados

bullPersonal temporal o Part-time

bullProveedores y consultores

bull Ignorante por accidente

Exposiciones de acceso loacutegico

bullCaballos de troya

bullRedondeo para abajo

bullTeacutecnicas del salami

bullVirus

bullGusanos

bullBombas loacutegicas

bullPuertas falsas

bullDenegacioacuten de

servicio

bullPiggybacking

Acceso

Flujo de

informacioacuten

entre un

sujeto y un

objeto

Criterios de Acceso

ndash Logicamente o fisicamente

ndash En base a la Necesidad-de-saber

ndash Cuatro niveles de seguridad (redes

plataformas bases de datos y aplicaciones)

ndash Revisiones de autorizacioacuten de acceso

Fases de Control

de Acceso

bull Autorizacioacuten

bull Autenticacioacuten

bull Identificacioacuten

bull Identificacioacuten ndash Login ID

iquest Que es lo que soy

iquest Que es lo que tengo

iquest Que es lo que se

Autenticacioacuten

Contrasentildeas

Contrasentildeas

Tokens

Autorizacioacuten

Control de acceso loacutegico

bull Identificacioacuten y autenticacioacuten

bullRestriccioacuten de logon IDs a terminales y horarios

especiacuteficos

bullEstablecer reglas de acceso para los recursos de

informacioacuten especiacuteficos

bullCrear responsabilidades y auditabilidad individual

bullCrear o modificar perfiles de usuario

bullRegistrar los eventos en bitaacutecora

bullCapacidades de reporte

Tipos

Criptografiacutea simeacutetrica

Funcionalidad vs Proteccioacuten

bull Compromiso de la Alta Gerencia

bull Poliacuteticas Normas y Procedimientos

bull Organizacioacuten

bull Educacioacuten

bull Monitoreo

bull Manejo de Incidentes

Factores criacuteticos de eacutexito

Roles y responsabilidades

bull Comiteacute directivo de seguridad de SI bull Gerencia Ejecutiva bull Grupo asesor de seguridad bull Director de Privacidad (Chief privacy officer - CPO) bull Director de Seguridad (Chief security officer - CSO) bull Duentildeos de procesos bull Propietarios de los activos de informacioacuten y de los

datos bull Usuarios bull Terceras partes (External parties) bull Especialistas Asesores en seguridad bull Desarrolladores de SI bull Auditores de SI

Inventario de activos de informacioacuten

bull Clara identificacioacuten de los activos

bull Localizacioacuten

bull Clasificacioacuten de seguridad riesgo

bull Grupo de activos

bull Propietario

Clasificacioacuten de los datos

Es una medida de control que define

bull Quieacuten tiene derechos de acceso

bull Quieacuten es responsable de determinar los

derechos y niveles de acceso

bull Cuaacuteles son las aprobaciones necesarias

para el acceso

Acceso Loacutegico

Los controles de acceso loacutegico son el primer

medio usado para administrar y proteger los

activos de informacioacuten

Defensa contra

bullHackers Crackers

bullEmpleados (autorizados o no)

bullAntiguos empleados

bullTerceros interesados

bullPersonal temporal o Part-time

bullProveedores y consultores

bull Ignorante por accidente

Exposiciones de acceso loacutegico

bullCaballos de troya

bullRedondeo para abajo

bullTeacutecnicas del salami

bullVirus

bullGusanos

bullBombas loacutegicas

bullPuertas falsas

bullDenegacioacuten de

servicio

bullPiggybacking

Acceso

Flujo de

informacioacuten

entre un

sujeto y un

objeto

Criterios de Acceso

ndash Logicamente o fisicamente

ndash En base a la Necesidad-de-saber

ndash Cuatro niveles de seguridad (redes

plataformas bases de datos y aplicaciones)

ndash Revisiones de autorizacioacuten de acceso

Fases de Control

de Acceso

bull Autorizacioacuten

bull Autenticacioacuten

bull Identificacioacuten

bull Identificacioacuten ndash Login ID

iquest Que es lo que soy

iquest Que es lo que tengo

iquest Que es lo que se

Autenticacioacuten

Contrasentildeas

Contrasentildeas

Tokens

Autorizacioacuten

Control de acceso loacutegico

bull Identificacioacuten y autenticacioacuten

bullRestriccioacuten de logon IDs a terminales y horarios

especiacuteficos

bullEstablecer reglas de acceso para los recursos de

informacioacuten especiacuteficos

bullCrear responsabilidades y auditabilidad individual

bullCrear o modificar perfiles de usuario

bullRegistrar los eventos en bitaacutecora

bullCapacidades de reporte

Tipos

Criptografiacutea simeacutetrica

bull Compromiso de la Alta Gerencia

bull Poliacuteticas Normas y Procedimientos

bull Organizacioacuten

bull Educacioacuten

bull Monitoreo

bull Manejo de Incidentes

Factores criacuteticos de eacutexito

Roles y responsabilidades

bull Comiteacute directivo de seguridad de SI bull Gerencia Ejecutiva bull Grupo asesor de seguridad bull Director de Privacidad (Chief privacy officer - CPO) bull Director de Seguridad (Chief security officer - CSO) bull Duentildeos de procesos bull Propietarios de los activos de informacioacuten y de los

datos bull Usuarios bull Terceras partes (External parties) bull Especialistas Asesores en seguridad bull Desarrolladores de SI bull Auditores de SI

Inventario de activos de informacioacuten

bull Clara identificacioacuten de los activos

bull Localizacioacuten

bull Clasificacioacuten de seguridad riesgo

bull Grupo de activos

bull Propietario

Clasificacioacuten de los datos

Es una medida de control que define

bull Quieacuten tiene derechos de acceso

bull Quieacuten es responsable de determinar los

derechos y niveles de acceso

bull Cuaacuteles son las aprobaciones necesarias

para el acceso

Acceso Loacutegico

Los controles de acceso loacutegico son el primer

medio usado para administrar y proteger los

activos de informacioacuten

Defensa contra

bullHackers Crackers

bullEmpleados (autorizados o no)

bullAntiguos empleados

bullTerceros interesados

bullPersonal temporal o Part-time

bullProveedores y consultores

bull Ignorante por accidente

Exposiciones de acceso loacutegico

bullCaballos de troya

bullRedondeo para abajo

bullTeacutecnicas del salami

bullVirus

bullGusanos

bullBombas loacutegicas

bullPuertas falsas

bullDenegacioacuten de

servicio

bullPiggybacking

Acceso

Flujo de

informacioacuten

entre un

sujeto y un

objeto

Criterios de Acceso

ndash Logicamente o fisicamente

ndash En base a la Necesidad-de-saber

ndash Cuatro niveles de seguridad (redes

plataformas bases de datos y aplicaciones)

ndash Revisiones de autorizacioacuten de acceso

Fases de Control

de Acceso

bull Autorizacioacuten

bull Autenticacioacuten

bull Identificacioacuten

bull Identificacioacuten ndash Login ID

iquest Que es lo que soy

iquest Que es lo que tengo

iquest Que es lo que se

Autenticacioacuten

Contrasentildeas

Contrasentildeas

Tokens

Autorizacioacuten

Control de acceso loacutegico

bull Identificacioacuten y autenticacioacuten

bullRestriccioacuten de logon IDs a terminales y horarios

especiacuteficos

bullEstablecer reglas de acceso para los recursos de

informacioacuten especiacuteficos

bullCrear responsabilidades y auditabilidad individual

bullCrear o modificar perfiles de usuario

bullRegistrar los eventos en bitaacutecora

bullCapacidades de reporte

Tipos

Criptografiacutea simeacutetrica

Roles y responsabilidades

bull Comiteacute directivo de seguridad de SI bull Gerencia Ejecutiva bull Grupo asesor de seguridad bull Director de Privacidad (Chief privacy officer - CPO) bull Director de Seguridad (Chief security officer - CSO) bull Duentildeos de procesos bull Propietarios de los activos de informacioacuten y de los

datos bull Usuarios bull Terceras partes (External parties) bull Especialistas Asesores en seguridad bull Desarrolladores de SI bull Auditores de SI

Inventario de activos de informacioacuten

bull Clara identificacioacuten de los activos

bull Localizacioacuten

bull Clasificacioacuten de seguridad riesgo

bull Grupo de activos

bull Propietario

Clasificacioacuten de los datos

Es una medida de control que define

bull Quieacuten tiene derechos de acceso

bull Quieacuten es responsable de determinar los

derechos y niveles de acceso

bull Cuaacuteles son las aprobaciones necesarias

para el acceso

Acceso Loacutegico

Los controles de acceso loacutegico son el primer

medio usado para administrar y proteger los

activos de informacioacuten

Defensa contra

bullHackers Crackers

bullEmpleados (autorizados o no)

bullAntiguos empleados

bullTerceros interesados

bullPersonal temporal o Part-time

bullProveedores y consultores

bull Ignorante por accidente

Exposiciones de acceso loacutegico

bullCaballos de troya

bullRedondeo para abajo

bullTeacutecnicas del salami

bullVirus

bullGusanos

bullBombas loacutegicas

bullPuertas falsas

bullDenegacioacuten de

servicio

bullPiggybacking

Acceso

Flujo de

informacioacuten

entre un

sujeto y un

objeto

Criterios de Acceso

ndash Logicamente o fisicamente

ndash En base a la Necesidad-de-saber

ndash Cuatro niveles de seguridad (redes

plataformas bases de datos y aplicaciones)

ndash Revisiones de autorizacioacuten de acceso

Fases de Control

de Acceso

bull Autorizacioacuten

bull Autenticacioacuten

bull Identificacioacuten

bull Identificacioacuten ndash Login ID

iquest Que es lo que soy

iquest Que es lo que tengo

iquest Que es lo que se

Autenticacioacuten

Contrasentildeas

Contrasentildeas

Tokens

Autorizacioacuten

Control de acceso loacutegico

bull Identificacioacuten y autenticacioacuten

bullRestriccioacuten de logon IDs a terminales y horarios

especiacuteficos

bullEstablecer reglas de acceso para los recursos de

informacioacuten especiacuteficos

bullCrear responsabilidades y auditabilidad individual

bullCrear o modificar perfiles de usuario

bullRegistrar los eventos en bitaacutecora

bullCapacidades de reporte

Tipos

Criptografiacutea simeacutetrica

Inventario de activos de informacioacuten

bull Clara identificacioacuten de los activos

bull Localizacioacuten

bull Clasificacioacuten de seguridad riesgo

bull Grupo de activos

bull Propietario

Clasificacioacuten de los datos

Es una medida de control que define

bull Quieacuten tiene derechos de acceso

bull Quieacuten es responsable de determinar los

derechos y niveles de acceso

bull Cuaacuteles son las aprobaciones necesarias

para el acceso

Acceso Loacutegico

Los controles de acceso loacutegico son el primer

medio usado para administrar y proteger los

activos de informacioacuten

Defensa contra

bullHackers Crackers

bullEmpleados (autorizados o no)

bullAntiguos empleados

bullTerceros interesados

bullPersonal temporal o Part-time

bullProveedores y consultores

bull Ignorante por accidente

Exposiciones de acceso loacutegico

bullCaballos de troya

bullRedondeo para abajo

bullTeacutecnicas del salami

bullVirus

bullGusanos

bullBombas loacutegicas

bullPuertas falsas

bullDenegacioacuten de

servicio

bullPiggybacking

Acceso

Flujo de

informacioacuten

entre un

sujeto y un

objeto

Criterios de Acceso

ndash Logicamente o fisicamente

ndash En base a la Necesidad-de-saber

ndash Cuatro niveles de seguridad (redes

plataformas bases de datos y aplicaciones)

ndash Revisiones de autorizacioacuten de acceso

Fases de Control

de Acceso

bull Autorizacioacuten

bull Autenticacioacuten

bull Identificacioacuten

bull Identificacioacuten ndash Login ID

iquest Que es lo que soy

iquest Que es lo que tengo

iquest Que es lo que se

Autenticacioacuten

Contrasentildeas

Contrasentildeas

Tokens

Autorizacioacuten

Control de acceso loacutegico

bull Identificacioacuten y autenticacioacuten

bullRestriccioacuten de logon IDs a terminales y horarios

especiacuteficos

bullEstablecer reglas de acceso para los recursos de

informacioacuten especiacuteficos

bullCrear responsabilidades y auditabilidad individual

bullCrear o modificar perfiles de usuario

bullRegistrar los eventos en bitaacutecora

bullCapacidades de reporte

Tipos

Criptografiacutea simeacutetrica

Clasificacioacuten de los datos

Es una medida de control que define

bull Quieacuten tiene derechos de acceso

bull Quieacuten es responsable de determinar los

derechos y niveles de acceso

bull Cuaacuteles son las aprobaciones necesarias

para el acceso

Acceso Loacutegico

Los controles de acceso loacutegico son el primer

medio usado para administrar y proteger los

activos de informacioacuten

Defensa contra

bullHackers Crackers

bullEmpleados (autorizados o no)

bullAntiguos empleados

bullTerceros interesados

bullPersonal temporal o Part-time

bullProveedores y consultores

bull Ignorante por accidente

Exposiciones de acceso loacutegico

bullCaballos de troya

bullRedondeo para abajo

bullTeacutecnicas del salami

bullVirus

bullGusanos

bullBombas loacutegicas

bullPuertas falsas

bullDenegacioacuten de

servicio

bullPiggybacking

Acceso

Flujo de

informacioacuten

entre un

sujeto y un

objeto

Criterios de Acceso

ndash Logicamente o fisicamente

ndash En base a la Necesidad-de-saber

ndash Cuatro niveles de seguridad (redes

plataformas bases de datos y aplicaciones)

ndash Revisiones de autorizacioacuten de acceso

Fases de Control

de Acceso

bull Autorizacioacuten

bull Autenticacioacuten

bull Identificacioacuten

bull Identificacioacuten ndash Login ID

iquest Que es lo que soy

iquest Que es lo que tengo

iquest Que es lo que se

Autenticacioacuten

Contrasentildeas

Contrasentildeas

Tokens

Autorizacioacuten

Control de acceso loacutegico

bull Identificacioacuten y autenticacioacuten

bullRestriccioacuten de logon IDs a terminales y horarios

especiacuteficos

bullEstablecer reglas de acceso para los recursos de

informacioacuten especiacuteficos

bullCrear responsabilidades y auditabilidad individual

bullCrear o modificar perfiles de usuario

bullRegistrar los eventos en bitaacutecora

bullCapacidades de reporte

Tipos

Criptografiacutea simeacutetrica

Acceso Loacutegico

Los controles de acceso loacutegico son el primer

medio usado para administrar y proteger los

activos de informacioacuten

Defensa contra

bullHackers Crackers

bullEmpleados (autorizados o no)

bullAntiguos empleados

bullTerceros interesados

bullPersonal temporal o Part-time

bullProveedores y consultores

bull Ignorante por accidente

Exposiciones de acceso loacutegico

bullCaballos de troya

bullRedondeo para abajo

bullTeacutecnicas del salami

bullVirus

bullGusanos

bullBombas loacutegicas

bullPuertas falsas

bullDenegacioacuten de

servicio

bullPiggybacking

Acceso

Flujo de

informacioacuten

entre un

sujeto y un

objeto

Criterios de Acceso

ndash Logicamente o fisicamente

ndash En base a la Necesidad-de-saber

ndash Cuatro niveles de seguridad (redes

plataformas bases de datos y aplicaciones)

ndash Revisiones de autorizacioacuten de acceso

Fases de Control

de Acceso

bull Autorizacioacuten

bull Autenticacioacuten

bull Identificacioacuten

bull Identificacioacuten ndash Login ID

iquest Que es lo que soy

iquest Que es lo que tengo

iquest Que es lo que se

Autenticacioacuten

Contrasentildeas

Contrasentildeas

Tokens

Autorizacioacuten

Control de acceso loacutegico

bull Identificacioacuten y autenticacioacuten

bullRestriccioacuten de logon IDs a terminales y horarios

especiacuteficos

bullEstablecer reglas de acceso para los recursos de

informacioacuten especiacuteficos

bullCrear responsabilidades y auditabilidad individual

bullCrear o modificar perfiles de usuario

bullRegistrar los eventos en bitaacutecora

bullCapacidades de reporte

Tipos

Criptografiacutea simeacutetrica

Defensa contra

bullHackers Crackers

bullEmpleados (autorizados o no)

bullAntiguos empleados

bullTerceros interesados

bullPersonal temporal o Part-time

bullProveedores y consultores

bull Ignorante por accidente

Exposiciones de acceso loacutegico

bullCaballos de troya

bullRedondeo para abajo

bullTeacutecnicas del salami

bullVirus

bullGusanos

bullBombas loacutegicas

bullPuertas falsas

bullDenegacioacuten de

servicio

bullPiggybacking

Acceso

Flujo de

informacioacuten

entre un

sujeto y un

objeto

Criterios de Acceso

ndash Logicamente o fisicamente

ndash En base a la Necesidad-de-saber

ndash Cuatro niveles de seguridad (redes

plataformas bases de datos y aplicaciones)

ndash Revisiones de autorizacioacuten de acceso

Fases de Control

de Acceso

bull Autorizacioacuten

bull Autenticacioacuten

bull Identificacioacuten

bull Identificacioacuten ndash Login ID

iquest Que es lo que soy

iquest Que es lo que tengo

iquest Que es lo que se

Autenticacioacuten

Contrasentildeas

Contrasentildeas

Tokens

Autorizacioacuten

Control de acceso loacutegico

bull Identificacioacuten y autenticacioacuten

bullRestriccioacuten de logon IDs a terminales y horarios

especiacuteficos

bullEstablecer reglas de acceso para los recursos de

informacioacuten especiacuteficos

bullCrear responsabilidades y auditabilidad individual

bullCrear o modificar perfiles de usuario

bullRegistrar los eventos en bitaacutecora

bullCapacidades de reporte

Tipos

Criptografiacutea simeacutetrica

Exposiciones de acceso loacutegico

bullCaballos de troya

bullRedondeo para abajo

bullTeacutecnicas del salami

bullVirus

bullGusanos

bullBombas loacutegicas

bullPuertas falsas

bullDenegacioacuten de

servicio

bullPiggybacking

Acceso

Flujo de

informacioacuten

entre un

sujeto y un

objeto

Criterios de Acceso

ndash Logicamente o fisicamente

ndash En base a la Necesidad-de-saber

ndash Cuatro niveles de seguridad (redes

plataformas bases de datos y aplicaciones)

ndash Revisiones de autorizacioacuten de acceso

Fases de Control

de Acceso

bull Autorizacioacuten

bull Autenticacioacuten

bull Identificacioacuten

bull Identificacioacuten ndash Login ID

iquest Que es lo que soy

iquest Que es lo que tengo

iquest Que es lo que se

Autenticacioacuten

Contrasentildeas

Contrasentildeas

Tokens

Autorizacioacuten

Control de acceso loacutegico

bull Identificacioacuten y autenticacioacuten

bullRestriccioacuten de logon IDs a terminales y horarios

especiacuteficos

bullEstablecer reglas de acceso para los recursos de

informacioacuten especiacuteficos

bullCrear responsabilidades y auditabilidad individual

bullCrear o modificar perfiles de usuario

bullRegistrar los eventos en bitaacutecora

bullCapacidades de reporte

Tipos

Criptografiacutea simeacutetrica

Acceso

Flujo de

informacioacuten

entre un

sujeto y un

objeto

Criterios de Acceso

ndash Logicamente o fisicamente

ndash En base a la Necesidad-de-saber

ndash Cuatro niveles de seguridad (redes

plataformas bases de datos y aplicaciones)

ndash Revisiones de autorizacioacuten de acceso

Fases de Control

de Acceso

bull Autorizacioacuten

bull Autenticacioacuten

bull Identificacioacuten

bull Identificacioacuten ndash Login ID

iquest Que es lo que soy

iquest Que es lo que tengo

iquest Que es lo que se

Autenticacioacuten

Contrasentildeas

Contrasentildeas

Tokens

Autorizacioacuten

Control de acceso loacutegico

bull Identificacioacuten y autenticacioacuten

bullRestriccioacuten de logon IDs a terminales y horarios

especiacuteficos

bullEstablecer reglas de acceso para los recursos de

informacioacuten especiacuteficos

bullCrear responsabilidades y auditabilidad individual

bullCrear o modificar perfiles de usuario

bullRegistrar los eventos en bitaacutecora

bullCapacidades de reporte

Tipos

Criptografiacutea simeacutetrica

Criterios de Acceso

ndash Logicamente o fisicamente

ndash En base a la Necesidad-de-saber

ndash Cuatro niveles de seguridad (redes

plataformas bases de datos y aplicaciones)

ndash Revisiones de autorizacioacuten de acceso

Fases de Control

de Acceso

bull Autorizacioacuten

bull Autenticacioacuten

bull Identificacioacuten

bull Identificacioacuten ndash Login ID

iquest Que es lo que soy

iquest Que es lo que tengo

iquest Que es lo que se

Autenticacioacuten

Contrasentildeas

Contrasentildeas

Tokens

Autorizacioacuten

Control de acceso loacutegico

bull Identificacioacuten y autenticacioacuten

bullRestriccioacuten de logon IDs a terminales y horarios

especiacuteficos

bullEstablecer reglas de acceso para los recursos de

informacioacuten especiacuteficos

bullCrear responsabilidades y auditabilidad individual

bullCrear o modificar perfiles de usuario

bullRegistrar los eventos en bitaacutecora

bullCapacidades de reporte

Tipos

Criptografiacutea simeacutetrica

Fases de Control

de Acceso

bull Autorizacioacuten

bull Autenticacioacuten

bull Identificacioacuten

bull Identificacioacuten ndash Login ID

iquest Que es lo que soy

iquest Que es lo que tengo

iquest Que es lo que se

Autenticacioacuten

Contrasentildeas

Contrasentildeas

Tokens

Autorizacioacuten

Control de acceso loacutegico

bull Identificacioacuten y autenticacioacuten

bullRestriccioacuten de logon IDs a terminales y horarios

especiacuteficos

bullEstablecer reglas de acceso para los recursos de

informacioacuten especiacuteficos

bullCrear responsabilidades y auditabilidad individual

bullCrear o modificar perfiles de usuario

bullRegistrar los eventos en bitaacutecora

bullCapacidades de reporte

Tipos

Criptografiacutea simeacutetrica

bull Identificacioacuten ndash Login ID

iquest Que es lo que soy

iquest Que es lo que tengo

iquest Que es lo que se

Autenticacioacuten

Contrasentildeas

Contrasentildeas

Tokens

Autorizacioacuten

Control de acceso loacutegico

bull Identificacioacuten y autenticacioacuten

bullRestriccioacuten de logon IDs a terminales y horarios

especiacuteficos

bullEstablecer reglas de acceso para los recursos de

informacioacuten especiacuteficos

bullCrear responsabilidades y auditabilidad individual

bullCrear o modificar perfiles de usuario

bullRegistrar los eventos en bitaacutecora

bullCapacidades de reporte

Tipos

Criptografiacutea simeacutetrica

iquest Que es lo que soy

iquest Que es lo que tengo

iquest Que es lo que se

Autenticacioacuten

Contrasentildeas

Contrasentildeas

Tokens

Autorizacioacuten

Control de acceso loacutegico

bull Identificacioacuten y autenticacioacuten

bullRestriccioacuten de logon IDs a terminales y horarios

especiacuteficos

bullEstablecer reglas de acceso para los recursos de

informacioacuten especiacuteficos

bullCrear responsabilidades y auditabilidad individual

bullCrear o modificar perfiles de usuario

bullRegistrar los eventos en bitaacutecora

bullCapacidades de reporte

Tipos

Criptografiacutea simeacutetrica

Contrasentildeas

Contrasentildeas

Tokens

Autorizacioacuten

Control de acceso loacutegico

bull Identificacioacuten y autenticacioacuten

bullRestriccioacuten de logon IDs a terminales y horarios

especiacuteficos

bullEstablecer reglas de acceso para los recursos de

informacioacuten especiacuteficos

bullCrear responsabilidades y auditabilidad individual

bullCrear o modificar perfiles de usuario

bullRegistrar los eventos en bitaacutecora

bullCapacidades de reporte

Tipos

Criptografiacutea simeacutetrica

Contrasentildeas

Tokens

Autorizacioacuten

Control de acceso loacutegico

bull Identificacioacuten y autenticacioacuten

bullRestriccioacuten de logon IDs a terminales y horarios

especiacuteficos

bullEstablecer reglas de acceso para los recursos de

informacioacuten especiacuteficos

bullCrear responsabilidades y auditabilidad individual

bullCrear o modificar perfiles de usuario

bullRegistrar los eventos en bitaacutecora

bullCapacidades de reporte

Tipos

Criptografiacutea simeacutetrica

Tokens

Autorizacioacuten

Control de acceso loacutegico

bull Identificacioacuten y autenticacioacuten

bullRestriccioacuten de logon IDs a terminales y horarios

especiacuteficos

bullEstablecer reglas de acceso para los recursos de

informacioacuten especiacuteficos

bullCrear responsabilidades y auditabilidad individual

bullCrear o modificar perfiles de usuario

bullRegistrar los eventos en bitaacutecora

bullCapacidades de reporte

Tipos

Criptografiacutea simeacutetrica

Autorizacioacuten

Control de acceso loacutegico

bull Identificacioacuten y autenticacioacuten

bullRestriccioacuten de logon IDs a terminales y horarios

especiacuteficos

bullEstablecer reglas de acceso para los recursos de

informacioacuten especiacuteficos

bullCrear responsabilidades y auditabilidad individual

bullCrear o modificar perfiles de usuario

bullRegistrar los eventos en bitaacutecora

bullCapacidades de reporte

Tipos

Criptografiacutea simeacutetrica

Control de acceso loacutegico

bull Identificacioacuten y autenticacioacuten

bullRestriccioacuten de logon IDs a terminales y horarios

especiacuteficos

bullEstablecer reglas de acceso para los recursos de

informacioacuten especiacuteficos

bullCrear responsabilidades y auditabilidad individual

bullCrear o modificar perfiles de usuario

bullRegistrar los eventos en bitaacutecora

bullCapacidades de reporte

Tipos

Criptografiacutea simeacutetrica

Tipos

Criptografiacutea simeacutetrica

Criptografiacutea simeacutetrica

bull Una misma llave encripta

y desencripta

bull Algoritmos

ndash DES llave de 56 bits

ndash 3DES 3 llaves de 56

bits

ndash AES llave de 128 192

256 bits

ndash IDEA

ndash Blowfish

ndash RC5

Criptografiacutea simeacutetrica

1234-5678-1234-5678 0x0088840517080E4FA2hellip

Encripcioacuten

Desencripcioacuten

Criptografiacutea simeacutetrica

Criptografiacutea Asimeacutetrica (Clave Puacuteblica)

Criptografiacutea

Asimeacutetrica

1234-5678-1234-5678 0x0088840517080E4FA2hellip

Encripcioacuten

Desencripcioacuten

Criptografiacutea simeacutetrica

Criptografiacutea Asimeacutetrica (Clave Puacuteblica)

Criptografiacutea

Asimeacutetrica

Criptografiacutea Asimeacutetrica (Clave Puacuteblica)

Criptografiacutea

Asimeacutetrica

Criptografiacutea

Asimeacutetrica

bull Usa 2 llaves

Privada y

Puacuteblica

bull Algoritmos

ndash RSA (Rivest

Shamir

Adleman)

ndash El Gamal

ndash Curva Eliptica

Criptografiacutea

Asimeacutetrica

1234-5678-1234-5678 0x0088840517080E4FA2hellip

Encripcioacuten con llave puacuteblica

Desencripcioacuten con llave

privada

Llave puacuteblica Llave privada

Criptografiacutea Asimeacutetrica

Funciones

Hash

1234-5678-1234-5678 0x0088840517080E4FA2hellip

Encripcioacuten con llave puacuteblica

Desencripcioacuten con llave

privada

Llave puacuteblica Llave privada

Criptografiacutea Asimeacutetrica

Funciones

Hash

Funciones

Hash

Funciones

Hash

bull Algoritmo de

una sola viacutea

bull Algoritmo

altamente

sensible

bull Algoritmos

MD5 SHA-II

Aplicaciones

bullSecure sockets layer (SSL)

bullSecure Hipertext Transfer Protocol (SHTTP)

bull IP security

bullSSH

bullSecure multipurpose Internet mail extensions

(SMIME)

bullSecure Electronic Transactions (SET)

bull3D Secure

Aplicaciones

bullSecure sockets layer (SSL)

bullSecure Hipertext Transfer Protocol (SHTTP)

bull IP security

bullSSH

bullSecure multipurpose Internet mail extensions

(SMIME)

bullSecure Electronic Transactions (SET)

bull3D Secure