Para ello existen una serie de estándares, protocolos, métodos, reglas, herramientas y leyes concebidas para minimizar los posibles riesgos a la infraestructura o a la información.
La ciberseguridad comprende software (bases de datos, metadatos, archivos), hardware, redes de computadoras y todo lo que la organización valore y signifique un riesgo si esta información confidencial llega a manos de otras personas, convirtiéndose, por ejemplo, en información privilegiada.
El objetivo de la seguridad informática es mantener la Integridad, Disponibilidad, Privacidad,
Control y Autenticidad de la información manejada por computadora.
Elementos
Autenticidad
Definir que la información requerida es válida y utilizable en tiempo, forma y distribución. Se debe estar seguro de las identidad del Receptor y TransmisorLos factores de autenticación responde a la consigna de "algo que ..."
Se – Tengo – Soy
Autenticacion Fuerte : utiliza dos factores
Integridad
Los componentes del sistema permanecen inalterados a menos que sean modificados por los usuarios autorizados.Asegurar que el mensaje no fue modificado no solo en su trayecto, sino que también en su origen. Una opción es el uso del CRC, en donde se le agrega información al mensaje para saber si hubo alguna modificación en el mismo.
Se debe autenticar el mensaje por medio de algoritmos
Confidencialidad
Los componentes del sistema y datos transmitidos son accesibles deben ser vistos o interpretados solo por los destinatarios y usuarios autorizados.Para esto existen algoritmos de cifrado, tales como el DES (Claves Simétricas) el cual necesita una clave privada, ya que el algoritmo es publico.
PKI – Claves Asimétricas.
RSA.
Data Encription Standard.
Disponibilidad
Los usuarios deben tener disponibles todos los componentes del sistema cuando así lo deseen.Para ello:
Back Up
Planes de Contingengia (Disaster & Recovery)
No Rechazo
Evita que cualquier entidad que envió o recibió información alegue, que no lo hizo o sea desconozcan en mensaje transmitidoPara poder demostrar el origen como también la recepción de un mensaje se recurre a:
- Certificados Digitales
- Autoridad Certificacion
Control de Acceso
Solo los usuarios autorizados deciden cuando y como permitir el acceso a la
información.
información.
Auditoria
Determinar qué, cuándo, cómo y quién realiza acciones sobre el sistema.
Amenazas
Fraudes cometidos mediante manipulación de computadoras
Manipulación de datos de E/S
Daños a programas o datos almacenados
Distribución de virus
Espionaje
Acceso no autorizado
Distintos Tipos
Pasiva: simple observacion o monitoreo
Activa: accion directa con alteraciones
- Interrupcion
- Intercepcion
- Modificacion
- Sustitucion y/o Reemplazo
Algoritmos y Protocolos
Encripcion o Cifrado
DES – Claves Simétricas
PKI – Claves Asimétricas
RSA
Autenticacion y Certificacion
Factores de Autenticacion
Autoridad Certificacion
Certificados Digitales
Protocolos
SET – Transaccion Segura Electronica
SSL – Secure socket layer
HTTPS
Comunicacion
Comunicación Segura
Servidor con SSL – Certificado Digital
Hand Shake: autenticacion Cliente-Servidor, informa algoritmos de cifrado y claves del MSJ.
Cliente Hello: envia algoritmos y nro aleatorio
Servidor Hello: presenta Cert. Digital con clave Publica y el algoritmo selecionado mas fuerte
Aprob. Cliente: verifica Cert. Digital, genera la Key Session, la envia al server encriptada con la Clave Publica.
Verificacion: ambos conocen la Key Session utilizada para encriptar los datos y comienza la transferencia de informacion.
Seguridad en redes.
Elementos de criptografía.
La criptografía asimétrica es el método criptográfico que usa un par de claves para el envío de mensajes. Las dos claves pertenecen a la misma persona que ha enviado el mensaje. Una clave es pública y se puede entregar a cualquier persona, la otra clave es privada y el propietario debe guardarla de modo que nadie tenga acceso a ella. Además, los métodos criptográficos garantizan que esa pareja de claves sólo se puede generar una vez, de modo que se puede asumir que no es posible que dos personas hayan obtenido casualmente la misma pareja de claves.Si el remitente usa la clave pública del destinatario para cifrar el mensaje, una vez cifrado, sólo la clave privada del destinatario podrá descifrar este mensaje, ya que es el único que la conoce. Por tanto se logra laconfidencialidad del envío del mensaje, nadie salvo el destinatario puede descifrarlo.
La criptografía simétrica es un método criptográfico en el cual se usa una misma clave para cifrar y descifrar mensajes. Las dos partes que se comunican han de ponerse de acuerdo de antemano sobre la clave a usar. Una vez que ambas partes tienen acceso a esta clave, el remitente cifra un mensaje usando la clave, lo envía al destinatario, y éste lo descifra con la misma clave.
Firma electrónica y firma digital.
FIRMA DIGITAL:
Una firma digital es un mecanismo criptográfico que permite al receptor de un mensaje firmado digitalmente determinar la entidad originadora de dicho mensaje (autenticación de origen y no repudio), y confirmar que el mensaje no ha sido alterado desde que fue firmado por el originador (integridad)La firma digital se aplica en aquellas áreas donde es importante poder verificar la autenticidad y la integridad de ciertos datos
Debe ser por PKI, se firma con una clave privada y se debe hacer online
FIRMA ELECTRONICA:
Es un concepto jurídico, equivalente electrónico al de la firma manuscrita, donde una persona acepta el contenido de un mensaje electrónico a través de cualquier medio electrónico válido.Usos:
- Firma con un lápiz electrónico al usar una tarjeta de crédito o débito en una tienda.
- Usando usuario y contraseña.
- Usando una tarjeta de coordenadas.
Se trabaja en forma offline, primero debe pasar por un algoritmo de encripcion.
No hay comentarios.:
Publicar un comentario