Tema 1 Flashcards
¿Por qué necesitamos seguridad informática?
Para la protección de la información
¿Cómo cambiaron las formas de trabajo durante 200 y 2010? (4)
- Crecimiento en las aplicaciones cliente-servidor.
- Compañías creaban sitios web como medio de comunicación y posteriormente como canal de venta.
- E-comerce, e-bussiness.
- Aplicaciones codificadas sin controles de seguridad
¿Para qué se comenzó a ver a la red como un canal de transmisión?
Por los objetivos de reducir latencia e incrementar el desempeño
¿Cuáles son otrs razones que hacen necesaria la seguridad informática? (5)
- Creación de grupos informales que hackeaban sitios web
- Virus Melissa 1999
- Operación Aurora
- Cyber ataques nacionales
- Redes Sociales
Menciona 3 tipos de malwarede gusano
- Código Rojo
- Nimda
- SQL Slammer
¿Que es un malware Código Rojo (gusano))
Es un gusano autoreplicable que contiene código malicioso que explota una vulnerabilidad conocida en los servidores IIS de Microsoft Windows.
¿Qué es un malware Nimda?
Gusano que afecta estaciones de trabajo (win95-2000) y Servidores NT y 2000, se propaga vía correo electrónico y se autotransfiere via tftp a otros servidores vulnerables con IIS.
Define al malware SQL Slammer
Gusano que se autoreplica para atacar servidores SQL vulnerables. Permite la ejecución de código arbitrario en SQL.. Una vez que infecta la máquina se comienza a propagar.
¿Cómo define la SANS a la seguridad de la información?
“Information Security refers to the processes and methodologies which are designed and implemented to protect print, electronic, or any other form of confidential, private and sensitive information or data from unauthorized access, use, misuse, disclosure, destruction, modification, or disruption.”
Definición de Seguridad de la Información por la ISO/IEC27001
“The preservation of confidentiality, integrity and availability of information.”
¿Que definición da la NIST para la seguridad de la información?
“The protection of information and information systems from unauthorized access, use, disclosure, disruption, modification, or destruction in order to provide confidentiality, integrity, and availability.”
¿En qué consiste la sguridad física de la información?
En proteger la información y activos de una organización contra amenazas y vulnerabilidades ocasionadas por personas, en las instalaciones donde residen los datos, equipo y sistemas de información
¿En qué se enfoca el control de la seguridad física?
- Interrupción de servicios
- Robo
- Daño Físico
- Descubrimiento no autorizado
- Pérdida de integridad del sistema
¿Cuáles son los 3 elementos fundamentales a seguir en cualquier sistema de seguridad?
- Disponibilidad
- Integrididad
- Confidencialidad
Define confidencialidad (3)
- Preservar restricciones autorizadas sobre el acceso y la divulgación de la información, incluyendo los medios para proteger la privacidad personal y propiedad de la información.
- La propiedad de que la información sensible NO es divulgada a individuos, autoridades o procesos NO autorizados.
- La propiedad de que la información NO es divulgada a entidades del sistema (usuarios, procesos y dispositivos) al menos que hayan sido autorizados para acceder la información.
Define Intgeridad
- Protección contra la modificación o destrucción inapropiada de la información que incluye asegurar la no repudiación y autenticación de la información.
- Propiedad de que los datos sensibles no han sido modificados o borrados de manera no autorizada o no detectada.
- Propiedad por la que una entidad no ha sido modificada de manera no autorizada
Define Disponibilidad
- Asegurar el acceso confiable y en tiempo a la información
- La propiedad de ser accedido y útil en el momento requerido por una entidad autorizada.
Otros factores a considerar en la Seguridad de la Información
- Personas: influyen directamente en la seguridad
- Tecnología: Habilitador de la práctica de seguridad
- Procesos: guía sobre los programas de seguridad
Menciona los principales objetivos de la SI (7)
- Asegurar que los riesgos se gestionen apropiadamente y que los impactos originados por eventos adversos se mantengan dentro de impactos y límites aceptables.
- Minimizar el riesgo y la pérdida relacionada con problemas en la seguridad.
- Brindar apoyo para alcanzar los objetivos de la organización.
- Maximizar la productividad del programa de seguridad.
- Maximizar la rentabilidad de la seguridad.
- Establecer y mantener una conciencia sobre la seguridad.
- Facilitar una arquitectura de seguridad lógica, técnica y operativa eficaz.
¿Qué leyes existen en México que median el uso de la información? (2)
- Comisión Nacional Bancaria y de Valores.
- Ley de protección de datos personales
Menciona algunos de los estándares mundiales que median el uso de la información (3)
- PCI
- HIPPA
- SOX
¿Características del código de ética conforme a los SI? (3)
- Establece la guía de conducta que un individuo debe seguir dentro de una compañía u organización a la que se afilia.
- Los individuos deben aceptar, y en ocasiones, firmar el código como un acuerdo.
- La falta al código puede causar la destitución del individuo hasta implicaciones legales.
¿Por qué anteriormente no existía una definición del área formal de SI? (5)
- Desconocimiento de la seguridad informática.
- No existía la cuantificación de daños en los activos de TI.
- El impacto de perdida de activos no era conocido.
- La seguridad se percibía como una actividad reactiva.
- Para qué invierto si no me ha pasado nada.
Razones por las cuales contar con un área de SI (5)
- Elaboración de políticas de seguridad corporativas.
- Creación de plan de mitigación de riesgos.
- Apoyar los programas de continuidad del negocio
- Aplicar los controles de seguridad adecuados y validar que sean cumplidos.
- Evitar que la compañía tenga incidentes de seguridad que impacten a la organización.
¿Qué retos se le presentan a un área de TI dentro de la organización?
- Falta de apoyo por parte de la alta dirección
- Falta de Financiamiento
- Personal inadecuado
Describe algunas nuevas técnicas de ataque
¿Qué categorias existen para las certificaciones a nivel individuo? (3)
- Certificaciones relacionadas a estándares
- Certificaciones relacionadas a organizaciones “neutrales”
- Certificaciones relacionadas a productos
Algunos ejemplos de certificaciones a nivel individuo son:
(ISC)^2
- CISSP
- SSCP
- CAP
- CSSLP
- CCFP
- HCISPP
ISACA
- CISA
- CISM
- GGEIT
- CRISC
SANS
- Divididad en categorías: Admin. de la SI; Forense; Gestión; Auditoría, Seguridad del Software
Menciona algunas de las certificaciones a nivel sistema
-
Orange Book:
- Tiene su origen en el DoD de US a través de la serie de publicaciones Rainbow
- Definición de un criterio de evaluación para un sistema de cómputo confiable
-
ITSEC
- Criterio estructurado para evaluar la seguridad de los sistemas de cómputo.
-
Common Criteria
- Asegurar que las evaluaciones de los productos de Tecnología de Información (TI) y los perfiles de protección son ejecutados con los estándares más altos y consistentes y que contribuyan de manera significativa a la seguridad y confidencialidad de aquellos productos y perfiles.
- Mejorar la disponibilidad de los perfiles de protección y la evaluación de los productos de TI.
- Eliminar la carga de evaluaciones duplicadas de los productos de TI y perfiles de protección.
- Mejorar constantemente la eficiencia y efectividad/costo del proceso de evaluación para los productos de TI
Menciona algunas de las Certificaciones Organizacionales (4)
- ISO/IEC
- BS7799
- HIPPA
- PCI
Describe la certificación organizacional 27001
- Introduce el concepto de Information Security Managemt System
- Objetivos
- Proporcionar los requerimientos para establecer, implementar, mantener y mejorar de manera continua un Sistema de Gestión de Seguridad de la información.
- El diseño y la implementación de un Sistema de Gestión de Seguridad de la Información de una organización es influenciado por las necesidades y objetivos, requerimientos de seguridad, procesos , tamaño y la estructura de la organización.
- Aplica el Pla-Do-Check-Act
Describe la certificación BS7799
Estándar británico para la gestión de la seguridad de la información
Dos publicaciones:
- BS77991-1: Código de práctica de la gestión de la seguridad de la información.
- BS7799-2: Especificación para el Sistema de Gestión de Seguridad de la información
Fue adoptado por ISO
Describe la certificación Organizacional HIPAA
- Establece un conjunto de estándares de seguridad para la protección de Información de Salud generada de manera electrónica.
- El estándar se enfoca en el manejo y divulgación de la información de salud de un individuo.
- El estándar también describe los derechos de privacidad de un individuo con respecto al control y uso de su información
- Proporciona un balance adecuado que permite el uso de información mientras protege la privacidad de los pacientes
Describe la Certificación Organizacional PCI
Payment Card Industry
- Las Normas de seguridad de datos de la industria de tarjetas de pago (PCI DSS) se desarrollaron para fomentar y mejorar la seguridad de los datos del titular de la tarjeta y facilitar la adopción de medidas de seguridad uniformes a nivel mundial.
- Describe una referencia de los requisitos técnicos y operativos para proteger los datos de los titulares de las tarjetas de crédito