Seguridad Informatica
Introducción
GSI - Facultad de Ingeniería - 2011
Plan
●
Qué es la Ingeniería de la Seguridad? Areas de aplicación Conceptos y Propiedades básicas Algunas conclusiones sobre Seguridad Informática
●
●
●
3/03/2011
FSI - 2011 - Introducción
Ingeniería de la Seguridad
●
Construcción de sistemas de los que se pueda depender anteactos maliciosos y/o errores Como disciplina se focaliza en las herramientas, procesos, y métodos necesarios para diseñar, implementar y testear sistemas, así como adaptarlos a medida que sus ambientes evolucionan
●
3/03/2011
FSI - 2011 - Introducción
Ingeniería de la Seguridad
●
Requiere expertise interdisciplinaria:
– –
Criptografía Seguridad Computacional (Computer Security)Hardware tamper-resistance Métodos formales Psicología aplicada Métodos organizacionales y de auditoría ...
FSI - 2011 - Introducción
– – – – –
3/03/2011
Ingeniería de la Seguridad
●
La mayoría de los sistemas de seguridad tienen requerimientos críticos de aseguramiento. Su falla puede:
–
Poner en peligro vidas y el medio ambiente (sistemas de seguridad y control de plantasnucleares) Dañar seriamente una valiosa infraestructura económica (ATM y otros sistemas bancarios) Poner en peligro la privacidad de las personas (sistemas de registro médicos)
FSI - 2011 - Introducción
–
–
3/03/2011
Ingeniería de la Seguridad
–
Cuestionar la viabilidad de sectores de negocio (pay-TV) Facilitar actos criminales (sistemas de alarmas)
–
●
Aún la percepción deque un sistema es más vulnerable de lo que realmente es puede significar una traba a un desarrollo económico (e-commerce con tarjetas de crédito)
FSI - 2011 - Introducción
3/03/2011
Ingeniería de la Seguridad
●
Los requerimientos de seguridad difieren mucho de un sistema a otro Usualmente se necesita una combinación de
– – – –
●
Autenticación de usuario Integridad ytrazabilidad de transacciones Tolerancia a fallas Mensajería secreta
●
...pero la mayoría de los sistemas fallan porque no se protegen los activos correctos, o se los protege mal
FSI - 2011 - Introducción
3/03/2011
Areas de Aplicación
●
Para entender el tipo de requerimientos de seguridad que los sistemas deben implementar se analizarán tres áreas de aplicación:
– – –
Bancos HospitalesHogares
3/03/2011
FSI - 2011 - Introducción
Aplicación 1: Un Banco
●
El sistema de bookkeeping es el sistema core de un banco
–
Master files de los clientes y Registro de las transacciones diarias Mayor amenaza: el personal del banco Defensa: antiguos procedimientos de bookkeeping (el dinero puede ser solamente movido, nunca creado ni destruído) Detección: sistemas de alarmasante transacciones inusuales
FSI - 2011 - Introducción
– –
–
3/03/2011
Aplicación 1: Un Banco
●
Una de las caras públicas del banco son sus ATMs
–
Autenticación de transacciones basadas en tarjetas de crédito y PINs, con defensas ante ataques externos e internos, es complicado de implementar ATMs fueron el primer uso comercial a gran escala de la criptografía Usados para movergrandes sumas de dinero Ataques exitosos a esos sistemas son enormemente redituables
FSI - 2011 - Introducción
–
●
Sistemas de mensajes de alto nivel
– –
3/03/2011
Aplicación 1: Un Banco
–
Defensa: mezcla de procedimientos de bookkeeping, control de acceso y criptografía
●
Mayoría de bancos tiene una caja fuerte cuya alarma está en constante comunicación con una compañiade seguridad
–
Se usa criptografía para prevenir la manipulación de esta comunicación
●
Presencia en Internet, con sitio Web y facilidades de e-banking
–
Mecanismos de protección: SSL/TLS, firewalls,...
FSI - 2011 - Introducción
3/03/2011
Aplicación 2: Un Hospital
●
La adopción de tecnologías informáticas genera requerimientos de seguridad particulares
–
Corrección...
Regístrate para leer el documento completo.