Seguridad en Redes iP
Alumno: Gerardo Ortega Flores
Prof. ROJO LOPEZ ARIOPAJITAINSTITUTO TECNOLOGICO DE SAN JUAN DEL RIO QUERETATO, MEX.
martes, 25 de noviembre de 2014
Portada Unidad 5
Unidad 5
Seguridad en Redes iP
INSTITUTO TECNOLOGICO DE SAN JUAN DEL RIO QUERETATO, MEX.
Seguridad en Redes iP
INSTITUTO TECNOLOGICO DE SAN JUAN DEL RIO QUERETATO, MEX.
(EXP 1). Metodologias de Implementacion de Seguridad
Magerit: Se basa en el analisis y el impacto en una organizacion para detectar vulnerabilidades
En las organizaciones por lo general encontramos con un catalogo de probelmas con soluciones efectivas producto de Magerit, esta metodologia suele ser costosa por los pasos a realizar.
Magerit esta disponible por medio de tres Libros.
Magerit es una metodología de análisis y gestión de riesgos de los Sistemas de Información elaborada por el Consejo Superior de Administración Electrónica para minimizar los riesgos de la implantación y uso de las Tecnologías de la Información, enfocada a las Administraciones Públicas.
Actualmente está en su versión 3.
Magerit ofrece una aplicación, PILAR para el análisis y gestión de riesgos de un Sistema de Información.
(EXP 2). Legislación Internacional Méxicana.
En la exposicion se mostraron las definiciones para:
Medio --> Información Juridica
Objeto--> Derecho Informatico
En México existen leyes que protegen los trabajos de terceros por medio de las reformas de codigo penal y la propiedad intelectual.
Dentro del pais nos encontramos con leyes que rigen la informacion que se pone disponible al publico por medio de enlaces electonicos en los sitios web gubernamentales.
Tenemos que ser cuidadosos con no interferir y hacer mal uso de trabajos protegidos con propiedades intelectuales ya que se puede incurrir en delitos y poder recibir sanciones, tener en cuenta esto al realizar el uso de recursos informaticos y fiscales al crear o gestionar algunos proyectos o trabajos.
Medio --> Información Juridica
Objeto--> Derecho Informatico
En México existen leyes que protegen los trabajos de terceros por medio de las reformas de codigo penal y la propiedad intelectual.
Dentro del pais nos encontramos con leyes que rigen la informacion que se pone disponible al publico por medio de enlaces electonicos en los sitios web gubernamentales.
Tenemos que ser cuidadosos con no interferir y hacer mal uso de trabajos protegidos con propiedades intelectuales ya que se puede incurrir en delitos y poder recibir sanciones, tener en cuenta esto al realizar el uso de recursos informaticos y fiscales al crear o gestionar algunos proyectos o trabajos.
(EXP 3). Hacking Etico
Hacker: Son personas con un altogrado de conocimiento tecnologico que puede manipular tanto Hardware como Software.
Tipos de Hackers:
-noob
-Phreaker
-Black hat hacker
-Cracker
-Gray hat hacker
-White hat hacker
El hacking etico es aplicado generalmente por los hakcer de sombrero blanco (White hat Hacker), estos son importantes para las organizaciones ya la información esta en juego y suelen estos se contratados para contrarestar daños o proteger areas desprotegidas.
A continuación se muestra el programa mostrado durante la exposición de clase: FOCA 3.2
*Ejemplo de ataque: inurt: "union select "site.edu.mx"
ataque a web
*Se muestra el ejemplo con fines educativos, no se proporciona en este blog guias detalladas de como realizar dicho ataque.
Tipos de Hackers:
-noob
-Phreaker
-Black hat hacker
-Cracker
-Gray hat hacker
-White hat hacker
El hacking etico es aplicado generalmente por los hakcer de sombrero blanco (White hat Hacker), estos son importantes para las organizaciones ya la información esta en juego y suelen estos se contratados para contrarestar daños o proteger areas desprotegidas.
A continuación se muestra el programa mostrado durante la exposición de clase: FOCA 3.2
*Ejemplo de ataque: inurt: "union select "site.edu.mx"
ataque a web
*Se muestra el ejemplo con fines educativos, no se proporciona en este blog guias detalladas de como realizar dicho ataque.
(EXP 4). Estandares y Niveles de Seguridad Informatica
ISO 27000: ISO 27001 Es una norma internacional emitida por la Organización Internacional de Normalización (ISO) y describe cómo gestionar la seguridad de la información en una empresa
Nombre completo es: ISO/IEC 27001:2013
ISO 17799: Es una norma internacional que ofrece recomendaciones para realizar la gestión de la seguridad de la información dirigidas a los responsables de iniciar, implantar o mantener la seguridad de una organización.
COBIT: Enfatiza en la conformidad a regulaciones, ayuda a las organizaciones a incrementar el valor alcanzado desde la TI, permite el alineamiento y simplifica la implementación de la estructura COBIT.
ITIL: Resume un extenso conjunto de procedimientos de gestión ideados para ayudar a las organizaciones a lograr calidad y eficiencia en las operaciones de TI.
NIVELES DE SEGURIDAD
El estándar de niveles de seguridad mas utilizado internacionalmente es el TCSEC Orange Book, desarrollado en 1983 de acuerdo a las normas de seguridad en computadoras del Departamento de Defensa de los Estados Unidos.
Los niveles describen diferentes tipos de seguridad del Sistema Operativo y se enumeran desde el mínimo grado de seguridad al máximo.
Para obtener la información completa de estos temas Descarga la presentación de este LINK.
DESCARGA LA PRESENTACION
(EXP 5). Dispositivos de Seguridad
La prevencion trae ahorros de costos de operacion, es por eso que conviene implementar dispositivos de seguridad en las organizaciones, siempre tratando de dar un enfoque de seguridad multicapa.
Principalmente hay que prevenir todo lo que sea posible para no dedicarse a corregir todo.
Las pequeñas empresas tambien pueden reducir sus costos en seguridad al sustituir personal humano por dispositivos de seguridad que hacen aun mas segura la organizacion. La seguridad se puede componer de los siguientes tres puntos:
1.- Lo que se: Contraseñas, Usuarios etc.
2.- Lo que tengo: Dispositivos de Seguridad como camaras, detectores de metales, etc...
3.- Lo que soy: Huellas digitales provenientes de dispositivos del punto dos, credenciales a los sistemas operativos etc.
Principalmente hay que prevenir todo lo que sea posible para no dedicarse a corregir todo.
Las pequeñas empresas tambien pueden reducir sus costos en seguridad al sustituir personal humano por dispositivos de seguridad que hacen aun mas segura la organizacion. La seguridad se puede componer de los siguientes tres puntos:
1.- Lo que se: Contraseñas, Usuarios etc.
2.- Lo que tengo: Dispositivos de Seguridad como camaras, detectores de metales, etc...
3.- Lo que soy: Huellas digitales provenientes de dispositivos del punto dos, credenciales a los sistemas operativos etc.
(EXP 6). Diseño de una Arquitectura de Seguridad
Aqui se establecen los conjuntos de controles de infraestructura de TI recomendados para brindar segridad al sistema deseado.
Se hace uso de las ISO 27000
Se toman en cuenta algunas caracteristicas como lo son
- TOLERANCIA A FALLOS
- ESCALABILIDAD
- CALIDAD DEL SERVICIO
- SEGURIDAD
Beneficios:
Cumplimiento normativo, Controles de seguridad de las TI, Plan de Riesgos, Utilizacion de tecnologia segun el analisis de riesgo.
"Arquitectura de Seguridad en el modelo ISA usa ISO´s como bases."
Consolidación de los resultados del análisis describiendo los esquemas actuales de comunicación y prestación de servicios. Identificación de las fortalezas y debilidades del esquema con base en esquemas de AAA, seguridad perimetral, conectividad segura, esquema de monitoreo y gestión.
Se hace uso de las ISO 27000
Se toman en cuenta algunas caracteristicas como lo son
- TOLERANCIA A FALLOS
- ESCALABILIDAD
- CALIDAD DEL SERVICIO
- SEGURIDAD
Beneficios:
Cumplimiento normativo, Controles de seguridad de las TI, Plan de Riesgos, Utilizacion de tecnologia segun el analisis de riesgo.
"Arquitectura de Seguridad en el modelo ISA usa ISO´s como bases."
Consolidación de los resultados del análisis describiendo los esquemas actuales de comunicación y prestación de servicios. Identificación de las fortalezas y debilidades del esquema con base en esquemas de AAA, seguridad perimetral, conectividad segura, esquema de monitoreo y gestión.
Suscribirse a:
Entradas (Atom)