miércoles, 7 de septiembre de 2011

Plan de Seguridad (Parte 3)

En anteriores artículos :

Ahora es el momento de pensar que medidas o tipo de medidas,queremos o podemos aplicar para proteger cada activo de la información.Siempre tomaremos medidas lógicas,que seamos capaces de aplicar y estén a nuestro alcance.
Es mejor aplicar las medidas mas urgentes primero,y organizar un sistema en el tiempo que permita ir mejorando,de forma progresiva iremos aplicando nuevas medidas,dentro de nuestras posibilidades para mejorar la seguridad.
Lo primero es asegurar la parte del recurso,es decir de este recurso concreto,¿Que quiero proteger?La Confidencialidad,La Integridad o La Disponibilidad.Una Pagina WEB es la imagen de una compañía,no debería ser modificada....Esto seria mantener la Integridad,nuestro negocio genera ingresos mediante esa pagina hay que evitar que se detenga (por ejemplo mediante un ataque DoS),esto es defender la Disponibilidad,si además la pagina tiene acceso a una base de datos el comprometer la pagina puede ocasionar que se acceda a esos datos,proteger esos datos por ejemplo mediante Https,seria proteger la Confidencialidad de nuestros clientes y evitar modificaciones otra vez la Integridad.
Como ya habréis visto en un mismo recurso,quizás nos interese defender las tres cosas,o una solo,según el caso y el uso de ese recurso dentro de nuestro negocio.


Algunos métodos para proteger los recursos son :

Confidencialidad:Se trata de que personas no autorizadas no accedan a recursos o información para los que no están autorizados,hay varios peligros básicos,el acceso,que se protege mediante contraseñas,biometrica,dispositivos físicos.
El acceso al entorno,mediante firewalls,evitar vulnerabilidades (mantener actualizado el software),control de usuarios y permisos,segregación de redes(Vlan).
El acceso a la información mientras viaja,Wifi,Cifrado,VPN(Redes privadas virtuales).
Hay que distinguir también entre Identificacion y Autentificacion,aunque parecen términos similares es vital diferenciarlos y tratarlos en consecuencia.

Integridad:Si no podemos confiar en que el contenido de los datos,no fue modificado,o que la fuente de la información,no sea quien dice ser tenemos un problema,por ese motivo publique el post de los certificados uno de los objetivos de los certificados es garantizar el remitente de la pagina,mensaje,mail y además garantizar que el mensaje no fue alterado.Aqui podeis ver el articulo.
Cuando descargamos un archivo,en el lugar de descarga suele estar su MD5,eso es el resultado de unas operaciones matemáticas que garantizan que el archivo descargado es igual al que se pretendía bajar.
Hablaremos proximamente de ello......MD5,Sha,etc.
El cifrado garantiza que los datos no puedan leerse (o casi),pero es el aplicar un hash,lo que garantiza que no fue alterada la información.
Otras medidas como un Firewall o la programacion segura,ayudan a proteger la integridad de la información,base de datos,etc.

Disponibilidad:El tener acceso a un recurso es básico,según la empresa y el recurso y en algunos momentos puede ser crucial,este es un tema largo y complicado porque mantener la disponibilidad,es difícil y muy diferente según de que se trate.Lo primero es tener las mínimas vulnerablidades,firewall,IDS,un buen diseño de Red,configuraciones adecuadas,actulizaciones y sobre todo aplicar una buena política de seguridad y mantenerla.
Y luego duplicidad y backup,osea copia de seguridad de todo lo importante,y con copia no quiero decir hacer un backup,hay que seguir haciéndolo,mantenerlo actualizado y cada cierto tiempo probar si los backup en realidad restauran de forma eficaz la información.
Y para los recursos indispensables,hay que duplicar recursos,una web lista para ser subida,virtualizacion,varios servidores o ISP.Esto es lo mas costoso,pero si hace falta..........
Espero que os haya gustado,iremos desarrollando todos estos temas uno por uno.
Plan de Seguridad (Parte 4)

Seguridad para Todos!!

2 comentarios:

  1. Hola villaveiran...muchas gracias por comentar en mi blog La Trastienda, estoy totalmente de acuerdo contigo...me parece un medio ideal para compartir conocimientos y puntos de vista diferentes y diversos sobre muchos temas...ahhhhh!!! ya te sigo yo también...veremos que puedo comentar puesto que tienes un blog muy técnico y yo no ando muy puesta sobre estos temas...pero me servirá para aprender...
    Un abrazo

    ResponderEliminar
  2. Muchas gracias,me interesa sobre tod la opinion de la gente "que no esta muy puesta",asi mas o menos se si estoy explicandolo bien,muchas veces nos centramos en explicar con todo detalle tecnico y la gente se aburre porque no entiende nada...en este blog estamos tratando de llegar a todo el mundo,que lo leas la primera vez y digas ...a mira,por eso era aunque a veces no se expliquen muchos detalles tecnicos,que se vea un poco la idea.Gracias Anakonda61

    ResponderEliminar

Archivo del blog

Consultor e Instructor de Sistemas y Seguridad Informática en Asturias