Señor
Páginas: 8 (1908 palabras)
Publicado: 21 de septiembre de 2014
Defense in Depth (DiD)
Seguridad en profundidad en los Sistemas de Información
Javier de Pedro Carracedo
Universidad de Alcalá
Aplicaciones Telemáticas
Curso 2010/11
UAH
Contenidos
1
Introducción
Objetivos
Principios básicos
2
Seguridad en los Sistemas de Información
Definiciones
Método de defensa en profundidad
Infraestructura de seguridad en capas
3Hacking ético. Test de penetración (PENTEST)
Introducción
Tests de penetración o intrusión
Metodologías de tests de intrusión
UAH
Esbozo
1
Introducción
Objetivos
Principios básicos
2
Seguridad en los Sistemas de Información
Definiciones
Método de defensa en profundidad
Infraestructura de seguridad en capas
3
Hacking ético. Test de penetración (PENTEST)
IntroducciónTests de penetración o intrusión
Metodologías de tests de intrusión
UAH
Objetivos
Muy peligroso. Dormirse en una falsa certeza.
Gestionar la incertidumbre, manteniéndose una inquietud
razonable y una verdadera vigilancia.
Definir un marco operativo en materia de arquitectura de un
Sistema de Información y gestión de los riesgos.
Objetivos
El atacante debe perder el empuje inicial,dado que
debe superar varias barreras independientes.
UAH
Esbozo
1
Introducción
Objetivos
Principios básicos
2
Seguridad en los Sistemas de Información
Definiciones
Método de defensa en profundidad
Infraestructura de seguridad en capas
3
Hacking ético. Test de penetración (PENTEST)
Introducción
Tests de penetración o intrusión
Metodologías de tests de intrusiónUAH
Principios básicos
Sébastien Le Prestre, Marqués de Vauban. Ingeniero militar con Luis XIV.
Principios básicos
La información como primera línea de defensa.
Amenazas efectivas, detección de ataques conocidos,
comportamientos sospechosos.
Varias líneas de defensa autónomas, coordinadas y
ordenadas por capacidad de defensa.
La pérdida de una línea de defensa debe debilitar elataque,
reforzando el resto de líneas de defensa.
Una línea de defensa debe atender todas las amenazas.
La defensa no excluye acciones ofensivas.
UAH
Esbozo
1
Introducción
Objetivos
Principios básicos
2
Seguridad en los Sistemas de Información
Definiciones
Método de defensa en profundidad
Infraestructura de seguridad en capas
3
Hacking ético. Test de penetración(PENTEST)
Introducción
Tests de penetración o intrusión
Metodologías de tests de intrusión
UAH
Definiciones
Gravedad. Impacto real en función de la criticidad del bien
(consecuencia directa) e impacto potencial en función de la
cantidad de líneas de defensa restantes.
Definir una escala que determine los niveles de gravedad
(comparar los distintos incidentes de seguridad).
Barrera.Medida de seguridad capaz de proteger una parte
del sistema contra al menos una amenaza.
Línea de defensa. Conjunto de barreras cuya superación
provoca un incidente de seguridad. Su gravedad se supedita
a la cantidad de barreras que una amenaza debe atravesar
aún para alcanzar el bien protegido.
Una línea de defensa comprende una transición entre dos
niveles de gravedad e implica unareacción planificada.
UAH
Definiciones
Defensa en profundidad. Defensa global y dinámica que
coordina varias líneas de defensa que cubren toda la
profundidad del sistema.
Profundidad en la organización.
Cadena de responsabilidades.
Difusión de la información de seguridad.
Profundidad en la implementación.
Políticas de seguridad contrastadas y actualizadas (dinamismo).
Políticas demantenimiento.
Profundidad en las tecnologías.
Diversificación de los elementos de seguridad.
Seguridad controlada (aislamiento zonal).
UAH
Esbozo
1
Introducción
Objetivos
Principios básicos
2
Seguridad en los Sistemas de Información
Definiciones
Método de defensa en profundidad
Infraestructura de seguridad en capas
3
Hacking ético. Test de penetración (PENTEST)...
Seguridad en profundidad en los Sistemas de Información
Javier de Pedro Carracedo
Universidad de Alcalá
Aplicaciones Telemáticas
Curso 2010/11
UAH
Contenidos
1
Introducción
Objetivos
Principios básicos
2
Seguridad en los Sistemas de Información
Definiciones
Método de defensa en profundidad
Infraestructura de seguridad en capas
3Hacking ético. Test de penetración (PENTEST)
Introducción
Tests de penetración o intrusión
Metodologías de tests de intrusión
UAH
Esbozo
1
Introducción
Objetivos
Principios básicos
2
Seguridad en los Sistemas de Información
Definiciones
Método de defensa en profundidad
Infraestructura de seguridad en capas
3
Hacking ético. Test de penetración (PENTEST)
IntroducciónTests de penetración o intrusión
Metodologías de tests de intrusión
UAH
Objetivos
Muy peligroso. Dormirse en una falsa certeza.
Gestionar la incertidumbre, manteniéndose una inquietud
razonable y una verdadera vigilancia.
Definir un marco operativo en materia de arquitectura de un
Sistema de Información y gestión de los riesgos.
Objetivos
El atacante debe perder el empuje inicial,dado que
debe superar varias barreras independientes.
UAH
Esbozo
1
Introducción
Objetivos
Principios básicos
2
Seguridad en los Sistemas de Información
Definiciones
Método de defensa en profundidad
Infraestructura de seguridad en capas
3
Hacking ético. Test de penetración (PENTEST)
Introducción
Tests de penetración o intrusión
Metodologías de tests de intrusiónUAH
Principios básicos
Sébastien Le Prestre, Marqués de Vauban. Ingeniero militar con Luis XIV.
Principios básicos
La información como primera línea de defensa.
Amenazas efectivas, detección de ataques conocidos,
comportamientos sospechosos.
Varias líneas de defensa autónomas, coordinadas y
ordenadas por capacidad de defensa.
La pérdida de una línea de defensa debe debilitar elataque,
reforzando el resto de líneas de defensa.
Una línea de defensa debe atender todas las amenazas.
La defensa no excluye acciones ofensivas.
UAH
Esbozo
1
Introducción
Objetivos
Principios básicos
2
Seguridad en los Sistemas de Información
Definiciones
Método de defensa en profundidad
Infraestructura de seguridad en capas
3
Hacking ético. Test de penetración(PENTEST)
Introducción
Tests de penetración o intrusión
Metodologías de tests de intrusión
UAH
Definiciones
Gravedad. Impacto real en función de la criticidad del bien
(consecuencia directa) e impacto potencial en función de la
cantidad de líneas de defensa restantes.
Definir una escala que determine los niveles de gravedad
(comparar los distintos incidentes de seguridad).
Barrera.Medida de seguridad capaz de proteger una parte
del sistema contra al menos una amenaza.
Línea de defensa. Conjunto de barreras cuya superación
provoca un incidente de seguridad. Su gravedad se supedita
a la cantidad de barreras que una amenaza debe atravesar
aún para alcanzar el bien protegido.
Una línea de defensa comprende una transición entre dos
niveles de gravedad e implica unareacción planificada.
UAH
Definiciones
Defensa en profundidad. Defensa global y dinámica que
coordina varias líneas de defensa que cubren toda la
profundidad del sistema.
Profundidad en la organización.
Cadena de responsabilidades.
Difusión de la información de seguridad.
Profundidad en la implementación.
Políticas de seguridad contrastadas y actualizadas (dinamismo).
Políticas demantenimiento.
Profundidad en las tecnologías.
Diversificación de los elementos de seguridad.
Seguridad controlada (aislamiento zonal).
UAH
Esbozo
1
Introducción
Objetivos
Principios básicos
2
Seguridad en los Sistemas de Información
Definiciones
Método de defensa en profundidad
Infraestructura de seguridad en capas
3
Hacking ético. Test de penetración (PENTEST)...
Leer documento completo
Regístrate para leer el documento completo.