Tema 3 Seguridad Fsica Curso de Seguridad Informtica
- Slides: 39
Tema 3 Seguridad Física Curso de Seguridad Informática Ultima actualización: 10/02/02 Archivo con 39 diapositivas Material Docente de Libre Distribución Dr. Jorge Ramió Aguirre Universidad Politécnica de Madrid Este archivo forma parte de un curso completo sobre Seguridad Informática y Criptografía. Se autoriza su uso, reproducción en computador e impresión en papel sólo para fines docentes, respetando siempre los derechos del autor. Curso de Seguridad Informática. 3: Seguridad Física. Curso de Seguridad Informática © Jorge RamióTema Aguirre
Nota del autor El contenido de este archivo corresponde sólo a un primer borrador en relación con el tema de la seguridad física. Aunque ésta puede tener igual o más importancia que la seguridad lógica relacionada directamente con el uso de algoritmos de cifra y firma digital y la protección de la información mediante técnicas criptográficas, de las que este curso hace una mayor profundización, se actualizará este material e incluirán nuevos temas. Curso de Seguridad Informática. © Jorge Ramió Aguirre Tema 3: Seguridad Física. Madrid (España) 2002 2
Seguridad Física Los datos deben protegerse aplicando: • Seguridad Lógica – Uso de herramientas de protección de la información en el mismo medio en el que se genera o transmite. • Seguridad Física – Procedimientos de protección física del sistema (incendios, agua, terremotos, etc. ). – Medidas de prevención de riesgos tanto físicos como lógicos. Curso de Seguridad Informática. © Jorge Ramió Aguirre Tema 3: Seguridad Física. Madrid (España) 2002 3
Seguridad Física en entornos de PCs Ø Ø Ø Ø Ø Anclajes a mesas de trabajo. Temas a tener en cuenta en un Cerraduras. entorno PC Tarjetas con alarma. Etiquetas con adhesivos especiales. Bloqueo de disquetera. Protectores de teclado. Tarjeta de control de acceso al hardware. Suministro ininterrumpido de corriente. Toma de tierra. Eliminación de la estática. . . etc. Curso de Seguridad Informática. © Jorge Ramió Aguirre Tema 3: Seguridad Física. Madrid (España) 2002 4
Análisis de riesgos • Proceso de identificación y evaluación del riesgo a sufrir un ataque y perder datos, tiempo y horas de trabajo, comparándolo con el costo de la prevención de esta pérdida. • Su análisis no sólo lleva a establecer un nivel adecuado de seguridad: permite conocer mejor el sistema que vamos a proteger. Curso de Seguridad Informática. © Jorge Ramió Aguirre Tema 3: Seguridad Física. Madrid (España) 2002 5
Información del análisis de riesgos (1) • Información que se obtiene en un análisis de riesgos: – Determinación precisa de los recursos sensibles de la organización. – Identificación de las amenazas del sistema. – Identificación de las vulnerabilidades específicas del sistema. – Identificación de posibles pérdidas. Curso de Seguridad Informática. © Jorge Ramió Aguirre Tema 3: Seguridad Física. Madrid (España) 2002 6
Información del análisis de riesgos (2) • Información que se obtiene en un análisis de riesgos (continuación): – Identificación de la probabilidad de ocurrencia de una pérdida. – Derivación de contramedidas efectivas. – Identificación de herramientas de seguridad. – Implementación de un sistema de seguridad eficiente en costes y tiempo. Curso de Seguridad Informática. © Jorge Ramió Aguirre Tema 3: Seguridad Física. Madrid (España) 2002 7
Conceptos teóricos de análisis de riesgos ¿B P L? – B: Peso o carga que significa la prevención de una pérdida específica. – P: Probabilidad de ocurrencia de una pérdida específica. – L: Impacto total de una pérdida específica. Curso de Seguridad Informática. © Jorge Ramió Aguirre Tema 3: Seguridad Física. Madrid (España) 2002 8
¿Cuándo y cuánto invertir en seguridad? Si B P L Hay que implementar una medida de prevención. Si B P L No es necesaria una medida de prevención. Curso de Seguridad Informática. © Jorge Ramió Aguirre Tema 3: Seguridad Física. Madrid (España) 2002 9
Efectividad del coste • El control ha de tener menos coste que el valor de las pérdidas debido al impacto de ésta si se produce el riesgo temido. • Ley básica: el costo del control ha de ser menor que el activo que protege. Curso de Seguridad Informática. © Jorge Ramió Aguirre Tema 3: Seguridad Física. Madrid (España) 2002 10
El factor L en la ecuación de riesgo (1) Factor L • El factor de impacto total L es difícil de evaluar. Incluye daños a la información, equipos, pérdidas por reparación, por levantar el sistema y pérdidas por horas de trabajo. • Hay una parte subjetiva. • La pérdida de datos puede llevar a una pérdida de oportunidades. Efecto cascada. Curso de Seguridad Informática. © Jorge Ramió Aguirre Tema 3: Seguridad Física. Madrid (España) 2002 11
El factor L en la ecuación de riesgo (2) Recomendación: • En la organización debe existir una comisión especializada interna o externa que sea capaz de evaluar todas las posibles pérdidas y cuantificarlas. Curso de Seguridad Informática. © Jorge Ramió Aguirre Tema 3: Seguridad Física. Madrid (España) 2002 12
El factor P en la ecuación de riesgo Factor P • El factor P está relacionado con la determinación de impacto total L. Depende del entorno en el que esté la posible pérdida. La probabilidad puede asociarse a una tendencia o frecuencia conocida. – Conocido P para un L dado, se obtiene la probabilidad de pérdida relativa de la ocurrencia P L que se comparará con B, el peso que supone implantar la medida de prevención respectiva. Curso de Seguridad Informática. © Jorge Ramió Aguirre Tema 3: Seguridad Física. Madrid (España) 2002 13
El factor B en la ecuación de riesgo (1) Factor B • Indica qué se requiere para prevenir una pérdida. – Ejemplo: el peso o carga de prevención para que un vehículo vaya sin gasolina es el costo de echarle gasolina. El peso incluye los valores de tiempo y costo: ir a la gasolinera, esperar a que esté libre un surtidor, poner gasolina y pagar. Curso de Seguridad Informática. © Jorge Ramió Aguirre Tema 3: Seguridad Física. Madrid (España) 2002 14
El factor B en la ecuación de riesgo (2) Factor B • ¿Cuánta protección es necesaria? – ¿Cuánta gasolina debemos echar en el depósito? Depende de hasta dónde queramos desplazarnos con el coche. • ¿De qué forma nos protegeremos? – Una casa puede protegerse con puertas, cerraduras, barras en ventanas, sistemas de alarmas, etc. Curso de Seguridad Informática. © Jorge Ramió Aguirre Tema 3: Seguridad Física. Madrid (España) 2002 15
Pasos en un análisis de riesgos 1. Identificación de posibles pérdidas (L) Identificar amenazas 3. Identificar posibles acciones y sus implicaciones. (B) Seleccionar acciones a implementar. 2. Determinar susceptibilidad. Posibilidad de pérdida (P) Curso de Seguridad Informática. © Jorge Ramió Aguirre Tema 3: Seguridad Física. Madrid (España) 2002 16
Ejemplo de análisis de riesgo • Con valores ficticios, se trata de encontrar a cuánto puede ascender nuestro presupuesto en materia de seguridad (B) si conocemos el impacto económico (L) que eso supone y hemos especificado un factor de probabilidad (P) de que esta catástrofe ocurra. Si B P L instalamos las medidas. Curso de Seguridad Informática. © Jorge Ramió Aguirre Tema 3: Seguridad Física. Madrid (España) 2002 17
Políticas de seguridad • Políticas administrativas – Procedimientos administrativos. • Políticas de control de acceso – Privilegios de acceso del usuario o programa. • Políticas de flujo de información – Normas bajo la cuales se comunican los sujetos dentro del sistema. Curso de Seguridad Informática. © Jorge Ramió Aguirre Tema 3: Seguridad Física. Madrid (España) 2002 18
Políticas administrativas • Políticas administrativas – Se establecen aquellos procedimientos de carácter administrativo en la organización como por ejemplo en el desarrollo de programas: modularidad en aplicaciones, revisión sistemática, etc. Curso de Seguridad Informática. © Jorge Ramió Aguirre Tema 3: Seguridad Física. Madrid (España) 2002 19
Control de accesos • Políticas de control de acceso – Política de menor privilegio • Acceso estricto a objetos determinados – Política de compartición • Acceso de máximo privilegio – Granularidad • Número de objetos accesibles (gruesa y fina) Curso de Seguridad Informática. © Jorge Ramió Aguirre Tema 3: Seguridad Física. Madrid (España) 2002 20
Control de flujo • Políticas de control de flujo – La información a la que se accede se envía por • ¿Canales lícitos o canales ocultos? – ¿Qué es lo que hay que potenciar? • • ¿La confidencialidad? ¿La integridad? ¿La disponibilidad? Según organización diferencias Curso de Seguridad Informática. © Jorge Ramió Aguirre Tema 3: Seguridad Física. Madrid (España) 2002 21
Modelos de seguridad (1) • Modelo de Bell and La. Padula (BLP) – Rígido. Confidencialidad y autoridad. • Modelo de Taque-Grant (TG) – Derechos especiales: tomar y otorgar. • Modelo de Clark-Wilson (CW) – Orientación comercial: integridad. Curso de Seguridad Informática. © Jorge Ramió Aguirre Tema 3: Seguridad Física. Madrid (España) 2002 22
Modelos de seguridad (2) • Modelo de Goguen-Meseguer (GM) – No interferencia entre usuarios. • Modelo de Matriz de Accesos – Estados y transiciones entre estados • Graham-Dennig (GD) • Harrison-Ruzzo-Ullman (HRU) Curso de Seguridad Informática. © Jorge Ramió Aguirre Tema 3: Seguridad Física. Madrid (España) 2002 23
Criterios de seguridad • Criterio de evaluación TSEC – Trusted Computer System Evaluation Criteria, también conocido como Orange Book • Criterio de evaluación ITSEC – Information Technology Security Evaluation Criteria • Criterio de evaluación CC – Common Criteria (los dos anteriores) Curso de Seguridad Informática. © Jorge Ramió Aguirre Tema 3: Seguridad Física. Madrid (España) 2002 24
Modelo de Bell La. Padula BLP • Escritura hacia abajo prohibida • Lectura hacia arriba prohibida • Principio de tranquilidad No lectura hacia arriba (usuario dado de alta con nivel secreto) No escritura hacia abajo Curso de Seguridad Informática. © Jorge Ramió Aguirre Tema 3: Seguridad Física. Madrid (España) 2002 Secreto máximo Secreto No clasificado 25
Modelo Take Grant (TG) • Se describe mediante grafos orientados: – el vértice es un objeto o sujeto. – un arco es un derecho. • Se ocupa sólo de aquellos derechos que pueden ser transferidos. Curso de Seguridad Informática. © Jorge Ramió Aguirre Tema 3: Seguridad Física. Madrid (España) 2002 26
Modelo Clark Wilson (CW) • Basado en políticas de integridad – Elementos de datos restringidos • sobre éstos debe hacerse un chequeo de consistencia – Elementos de datos no restringidos – Procedimientos de transformación • trata los dos elementos – Procedimientos de verificación de integridad Curso de Seguridad Informática. © Jorge Ramió Aguirre Tema 3: Seguridad Física. Madrid (España) 2002 27
Planes de contingencia • • ¿Qué es un Plan de Contingencia? ¿Por qué es necesario implementarlo? ¿Qué gana la empresa con este plan? Y si no lo tiene ¿a qué se expone? Lo veremos a continuación Curso de Seguridad Informática. © Jorge Ramió Aguirre Tema 3: Seguridad Física. Madrid (España) 2002 28
Definición de plan de contingencia • Un Plan de Contingencia consiste en un análisis pormenorizado de las áreas que componen nuestra organización que nos servirá para establecer una política de recuperación ante un desastre. – Es un conjunto de datos de la empresa que se plasma en un documento con ese fin. Curso de Seguridad Informática. © Jorge Ramió Aguirre Tema 3: Seguridad Física. Madrid (España) 2002 29
Desastres naturales y su prevención • Desastres naturales – – – • Medidas prevención Huracán Tormenta Inundación Tornado Vendaval, etc – Emplazamientos adecuados – Protección fachadas, ventanas, puertas • Destruyen nuestro sistema Curso de Seguridad Informática. © Jorge Ramió Aguirre Tema 3: Seguridad Física. Madrid (España) 2002 30
Vandalismo informático y su prevención • Medidas de prevención • Terrorismo • Sabotaje • Robo – – – • Virus • Programas malignos Curso de Seguridad Informática. © Jorge Ramió Aguirre Tema 3: Seguridad Física. Madrid (España) 2002 Fortificación entradas Guardia Jurado Patrullas Circuito cerrado TV Control de accesos – Protección de software y hardware con un antivirus. 31
Amenazas del agua y su prevención • Inundaciones por causas propias de la empresa • Inundaciones por causas ajenas • Pequeños incidentes personales (botella de agua, taza con café) Curso de Seguridad Informática. © Jorge Ramió Aguirre • Medidas prevención Tema 3: Seguridad Física. Madrid (España) 2002 – Revisar conductos de agua – Localizar la sala con los equipos más caros en un sitio libre de estos problemas – Instalar sistemas de drenaje emergencias 32
Amenazas del fuego y su prevención • Medidas prevención • Debido a una mala instalación eléctrica – Detector humo y calor – Materiales ignífugos • Debido a descuidos (fumar en la sala de – Almacén de papel ordenadores) separado de máquinas • Papeleras mal ubicadas – Estado del falso suelo (se tira un cigarrillo no – Extintores revisados apagado) • Es la amenaza más temida por su rápido • Problemas del humo poder destructor. Curso de Seguridad Informática. © Jorge Ramió Aguirre Tema 3: Seguridad Física. Madrid (España) 2002 33
¿Y si se produce una catástrofe? • Las empresas dependen hoy en día de los equipos informáticos y de los datos que hay allí almacenados. • Dependen también cada vez más de las comunicaciones a través de redes de datos. • Si falla el sistema informático y no puede recuperarse, la empresa puede desaparecer. Curso de Seguridad Informática. © Jorge Ramió Aguirre Tema 3: Seguridad Física. Madrid (España) 2002 34
Importancia de contar con un plan • Además de seguridad, la empresa gana en conocimiento real de sus fortalezas y debilidades. • Si no lo hace se expone a sufrir una pérdida irreparable mucho más costosa que la implantación de este plan. Curso de Seguridad Informática. © Jorge Ramió Aguirre Tema 3: Seguridad Física. Madrid (España) 2002 35
Pérdidas por no contar con un plan • • Pérdida de clientes Pérdida de imagen Pérdida de ingresos por beneficios Pérdida de ingresos por ventas y cobros Pérdida de ingresos por producción Pérdida de competitividad Pérdida de credibilidad en el sector Curso de Seguridad Informática. © Jorge Ramió Aguirre Tema 3: Seguridad Física. Madrid (España) 2002 36
Tiempo de recuperación ante desastres • Período máximo de paro de una empresa sin poner en peligro su supervivencia: – Sector Seguros: – Sector Fabricación: – Sector Industrial: – Sector Distribución: – Sector Financiero: 5, 6 días 4, 9 días 4, 8 días 3, 3 días 2, 0 días Ref. Estudio de la Universidad de Minnesota Curso de Seguridad Informática. © Jorge Ramió Aguirre Tema 3: Seguridad Física. Madrid (España) 2002 37
Implantación de medidas • Plan de emergencia – Vidas, heridos, activos, evacuación personal – Inventariar recursos siniestrados – Evaluar el coste de la inactividad • Plan de recuperación – Acciones tendentes a volver a la situación que existía antes del desastre. Curso de Seguridad Informática. © Jorge Ramió Aguirre Tema 3: Seguridad Física. Madrid (España) 2002 38
Plan de continuidad • Instalaciones alternativas – Oficina de servicios propia – Acuerdo con empresa vendedora hardware – Acuerdo recíproco entre dos o más empresas – Arranque en frío; sala vacía propia – Arranque en caliente: centro equipado – Sistema Up Start: caravana, unidad móvil – Sistema Hot Start: centro gemelo Fin del Tema 3 Curso de Seguridad Informática. © Jorge Ramió Aguirre Tema 3: Seguridad Física. Madrid (España) 2002 39
Philippe dreyfus 1962
Informtica
Informtica
Curso de instalación de cámaras de seguridad a distancia
Fsica
Mapa mental movimento uniforme
Fsica
Fsica
Resolução
Rapidez velocidad y aceleración
Fsica
Fsica
Vetores fisica
Fsica
Dois vetores a e b
Fsica
Velocidad relativa
Aceleración normal y aceleración tangencial
Fsica
Fsica
Eficiencia de carnot
Fsica
No jogo do brasil contra a noruega o tira-teima mostrou
Grandezas fisicas
Ramas de la física moderna
Induccion y polarizacion
Fsica
Reacciones estatica
Qué tipos de entrevista hay
Tema-tema teologi perjanjian lama
Aliran ini umumnya ditandai oleh tema-tema yang fantastis
Subtema
Ejemplos de delimitación de la investigación
Curso variadores de frecuencia
Curso antibioterapia
Curso basico de project 2010
Pensamiento curso y contenido
Curso desenho instrucional
Fisioterapia veterinaria curso
Ica
