Pagina principal

Instituto Tecnológico de San Juan del Río

Seguridad en Redes IP

Unidad V

Tópicos Avanzados de Seguridad

Profesora: Ariopajita Rojo López

Alumna: Alondra Domingo Rubio

Este blog contiene las conclusiones de las presentaciones realizadas de la Unidad V del tema "Tópicos Avanzados de Seguridad".

Presentación 1

5.1 Metodologías para la implementación de seguridad

En la presentación se mencionaron las metodologías OCTAVE, CORAS, MAGERIT, NIST SP 800-30 las cuales se centralizan en el análisis y gestión de riesgos, que por medio de una serie de pasos se puede llegar a una implementación de seguridad confiable a una empresa.

La metodología OCTAVE, se centraliza en el estudio de riesgos organizacionales.

La metodología CORAS, hace un análisis de riesgos basada en la elaboración de pasos, los cuales son:

·         Presentación

·         Aprobación

·         Identificadores de riesgos

·         Eliminación de riesgos

·         Tratamiento de riesgos

La metodología MAGERIT, se centraliza en el análisis y gestión de riesgos, e implementa medidas de seguridad que generan confianza. Uno de sus objetivos es ayudar a descubrir y planificar las medidas oportunas para tener los riesgos bajo control.

Y por último la metodología NIST SP 800-30, la cual se centraliza en el análisis y gestión de riesgos.

Presentación 2

5.2 Legislación Mexicana e Internacional

Propuestas en política informática Nacional-Sector público

Secretaría de contraloría y desarrollo administrativo

Secretaría de agricultura (SAGARPA)

Propuestas en política informática Nacional-Sectores social y privado

Federación de asociaciones

Ley de instrucciones de crédito

Propuestas de política informática Nacional-Sector educativo

Artículos

114- Envía a través de medios telemáticos

115- Recepción, resguardo y clasificación

Es de gran importancia que las empresas estén sentadas en reglas o artículos, los cuales garantizan una autentificación de la información o formalidad de la entidad.

Presentación 3

5.3 Hacker ético

El hacker ético es un profesional de la seguridad que aplica todos sus conocimientos de hacking con fines defensivos (y legales). Entre sus tipos

Sombrero negro: Ataca empresas con un beneficio personal.

Sombrero blanco: Experto en seguridad.

Sombrero gris: No tiene malas intenciones, lo hace para llegar a hacer una protección al equipo (no tiene un objetivo).

Elementos esenciales de seguridad:

·         Confidencialidad

·         Integridad

·         Autenticidad

·         Disponibilidad

Qué puede hacer un hacker

·         Reconocimiento

·         Registro

·         Acceso

·         Mantenimiento de acceso

Herramientas

·         NESSUS

·         METASPLOIT

·         DV-DVWA

·         OSWA-ASSISTANT

·         KALI LINUXà BACKTRAP

La misión u objetivo de un hacker ético, es buscar las vulnerabilidades e implementar en ellas medidas de seguridad. Su trabajo debe estar regido por un contrato, el cual deberá llevar las cláusulas que indiquen que debe y que no debe hacer con la información y/o sistema en el que esté trabajando. Un hacker ético realiza su trabajo sin ningún fin de lucro.

Presentación 4

5.4 Estándares: ISO 27001, ISO 17799, COBIT, BS25999 e ITIL.

Estándares: son una herramienta que apoya la gestión de la seguridad informática.

ISO-27001

Describe y define los requerimientos de seguridad. Desarrolla un modelo para el establecimiento, implementación, mantenimiento y operación.

Para cualquier empresa (duración de 6 y 12 meses).

Identificar los riesgos y establecer controles

·         Cumplir con los requerimientos legales

·         Obtener una ventaja comercial

·         Menores costos

·         Una mejor organización

Pasos:

·         Obtener apoyo

·         Utilizar una metodología

·         Definir el alcance de SGSI

·         Redactar una política de alto nivel

·         Definir una metodología y aplicarla

ISO-17799

Ofrece recomendaciones para realizar la gestión de seguridad de la información.

Aplicable para todo tipo de organización

5.4.1 Niveles de seguridad informática

Nivel D: División

Nivel C1: Protección discrecional

Nivel C2: Protección de acceso controlado

Nivel B1: Seguridad etiquetada

Nivel B2: Protección estructurada

Nivel B3: Dominios de seguridad

Nivel A: Protección verificada