Contenido
Principles of Security
Seguridad y sus fundamentos (SEC1)
y Seguridad Avanzada (SEC2)
Contenido del Curso
Principles of Security
SEC1 y SEC2
Control de Acceso
Definición de control de acceso
Principios de seguridad
- Disponibilidad
- Integridad
- Confidencialidad
Identificación, autenticación, autorización y responsabilidad
- Single sign-on
Modelos de control de acceso
Técnicas y tecnologías de control de acceso
- Control de acceso basado en reglas
- Interfases de usuarios restringidas
- Matriz de control de acceso
- Tablas de competencias (Capability tables)
- Listas de control de acceso
- Control de acceso contenido-dependiente
Administración de control de acceso
- Centralizada
- Descentralizada
- Híbrida
Métodos de control de acceso
- Capas de control de acceso
- Controles administrativos
- Controles físicos
- Controles técnicos
Tipos de control de acceso
- Responsabilidad
Prácticas de control de acceso
Monitoreo de control de acceso
- Detección de intrusos
Algunas amenazas al control de acceso
- Ataque por diccionario
- Ataque por fuerza bruta
- Spoofing al logon
- Test de penetración
Seguridad en Telecomunicaciones y Networking (redes)
Generalidades de Seguridad en Telecomunicaciones y Networking
El Open System Interconnect Model (OSI)
- Capa de aplicación
- Capa de presentación
- Capa de sesión
- Capa de Network
- Capa data link
- Capa física
TCP/IP
- TCP
- Handshake TCP
- Estructura de datos
- Addressing IP
Tipos de transmisión
- Analógica y digital
- Asincrónica y sincrónica
- Broadband (Banda Ancha) y Baseband
Networking
Topología de redes
- Topología Anillo
- Topología Bus
- Topología estrella
- Topología mesh
LANs: tecnologías de acceso al medio
- Ethernet, Fast Ethernet, Token Ring, FDDI
- Token Passing, CSMA, Collision domain, Polling
Cableado
- Problemas en cableado
Protocolos
- ARP
- RARP
- ICMP
Dispositivos de red
- Repeaters, Bridges, Routers, Switches, VLANs, Gateways, PBX, Firewalls.
Segregación y aislamiento de redes
Servicios de redes
- Network Operating Systems
- DNS
- DNS en Internet y Dominios
- Servicios de directorio
Intranets y extranets
- NAT
Metropolitan Area Network
Wide Area Network (WAN)
- Evolución de telecomunicaciones
- Links dedicados
- T-carriers
- S/WAN
- Tecnologías WAN: CSU/DSU, Switching, Frame Relay, Virtual Circuits, X.25, ATM, SMDS, SDLC, HDLC, HSSI.
- Tecnologías de acceso a multiservicios: H.323
Acceso remoto
- Dial-up y RAS
- ISDN
- DSL
- Cable MODEM
- VPN
- Protocolos de tuneleo
- PPP, PPTP, L2TP
- PAP, CHAP, y EAP
Disponibilidad de servicios y recursos en red
- Single Point of Failure
- RAID
- Clusters
- Back-up
Tecnologías Wireless
- Comunicaciones Wireless: spread spectrum, Frequency hopping spread-spectrum.
- Direct sequence spread spectrum, FHSS versus DSSS
- Estándares Wireless: 802.11 a,b,e,f,g,h,i,j, 802.16, 802.15
- WAP
- Componentes de WLAN
- War driving
Administración de Seguridad
Generalidades de la administración de la seguridad
Responsabilidades
Administración de la seguridad y controles disponibles
Principios fundamentales de seguridad
- Disponibilidad
- Integridad
- Confidencialidad
Definiciones de seguridad
- “threat”, “vulnerabiblity”, “exposure” y “risk”
Seguridad de abajo a arriba
Modelo de seguridad organizacional
Requerimientos de las empresas
- Industria privada versus organización militar.
Manejo del riesgo
Análisis de riego
- Equipo de análisis de riesgo
- Valor de la información y assets
- Costos que conforman el valor
- Identificando amenazas
- Procedimiento cuantitativo
- Inputs y recolección de datos para el análisis
- Métodos de análisis de riesgo automatizados
- Pasos de un análisis de riesgo
- Análisis de riesgo cualitativo
- Cualitativo vs cuantitativo
- Mecanismos de protección
- Riesgo total vs. residual
- Manejando el riesgo
Políticas, procedimientos, estándares, baselines, y guías
Clasificación de la información
- Empresas privadas vs clasificaciones en el ámbito militar
Planos de responsabilidad
- Dueño de datos, Custodio de datos, Usuario
- Personal
- Estructura
Prácticas de toma de personal
- Roles
- Terminación
Concientización de la seguridad
- Diferentes tipos de entrenamiento en seguridad
-Seguridad en las aplicaciones y sistemas
-La Importancia del software
-Seguridad en dispositivos vs. seguridad en el software
Diferentes entornos requieren diferente seguridad
- E-commerce
- Modelo Cliente/Servidor
Controles en el entorno vs. en las aplicaciones
-Complejidad de la funcionalidad
-Tipos de datos, formatos y longitud
-Implementación y aspectos de las configuraciones por defecto
-¿Qué sucede cuando una aplicación falla?
Administración de Bases de Datos
- Software para la administración de bases de datos
- Modelos de Bases de Datos
- Lenguajes de interfase de Bases de Datos
- Componentes de una Base de Datos relacional
- Diccionario de datos
- Integridad
- Aspectos de seguridad en Bases de Datos
- Data Warehousing y Data Minino
Desarrollo de Sistemas
- Administración del desarrollo
- Fases del life-cycle
- Métodos de desarrollo de software
- Control de cambio
- Capability Maturity Model
- Software Escrow
Metodología en el desarrollo de software
Conceptos sobre Orientación a Objetos
- Modelación de Datos
- Arquitectura de Software
- Estructuras de datos
- ORB y CORBA
- CASE (Computater Arded Software Egineering)
- Prototipos
- COM y DCOM
- ODBC (Open Data Connectivity)
- OLE (Object Linking and Embedding)
- Intercambio dinámico de datos.
- Entorno de computación distribuida
- Enterprise Java Beans
- Sistemas expertos y Knowledge- Bases Systems
- Redes Neuronales artificiales
- Java
- ActiveX
- Software malicioso (Malware)
- Ataques
Criptografía
- Historia de la Criptografía
- Definiciones criptográficas
- Fortaleza de un criptosistema
- Objeto de criptosistemas
- Tipos de encriptación
- Steganografía
- Participación de los gobiernos en la criptografía
- Métodos de Encriptación
- Public Key Infrastructure (PKI)
- Integridad de los mensajes
- Administración de llaves
- Encriptación en el link vs. punto a punto.
- Estándares del E-mail
- Seguridad en Internet
- Ataques
- Modelos de Seguridad y Arquitectura
- Arquitectura de la computadora
- Arquitectura de Sistemas
Modelos de seguridad
- State machine Models
- Bell La- Padula Model
- Clark-Wilson Model
- Information Flow Model
- Noninterference Model
- Modelo de Brewer y Nash
- Modelos de Graham-Denning y Harrison-Ruzzo-Ullman.
Modos de Operación en seguridad
- Métodos de evaluación de sistemas
- El libro Orange (naranja)
- La serie Rainbow
- Criterio de evaluación en seguridad en IT
- Criterios comunes
- Certificación vs. acreditación
- Estándares 7799
Sistemas abiertos vs cerrados
Amenazas a los modelos y arquitectura de seguridad
- Covert channels
- Backdoors
- Ataques asincrónicos
- Buffer-Overflows
Seguridad Operativa
Seguridad operativa
- Manejo administrativo
- Responsabilidades
- Operaciones de seguridad y evaluación de productos
- Controles de Input y Output
Seguridad en el correo electrónico
- Seguridad en el fax
- Hacks y métodos de ataque
- Departamento operativo
Planeamiento de la continuidad de los negocios
(Business Continuity Planning)
- Continuidad de los Negocios y recuperación de desastres
- Hacerlo parte de las políticas y programa de seguridad
- Análisis de Impacto en el negocio
- Requerimientos de un Business Continuity Planning
- Entorno del usuario final
- Alternativas de Backup
- Eligiendo un software de backup
- Recuperación y restauración
- Testeo y métodos de recuperación
- Respuesta en la emergencia
- Leyes, Investigación y Ética
- Las muchas facetas de las leyes de la informática
- Ética
- Hackers y Crackers
- Crímenes computacionales conocidos
- Identificación, protección y procesamiento
- Responsabilidad y sus ramificaciones
- Tipos de leyes
- Descartar equipamiento y software
- Investigaciones de crímenes computacionales
- Leyes de importación y exportación
- Privacidad
- Leyes, directivas y regulaciones
- Esfuerzos de cooperación internacionales
- Seguridad Física
- Generalidades de Seguridad Física
- Proceso de planeamiento
- Administración de las facilidades
- Riesgos de seguridad físicos
- Proceso de selección de componentes en la seguridad física
- Aspectos del entorno
- Controles administrativos
- Seguridad del perímetro
