La selección de medidas dependen de varios factores como:	-El entorno -Nuestras expectativas -El valor de los activos -El presupuesto
Toda medida de seguridad será un compromiso entre:	-Nivel de protección -Eficacia -Facilidad de uso -Facilidad de gestión - Coste
El _________________________que conseguimos depende del riesgo que estemos dispuestos a aceptar	Nivel de seguridad
Dentro de la selección de medidas debemos enfocar nuestro trabajo primero a los:	Activos mas valiosos y las amenazas mas probables
La medida de seguridad mas simple es la eliminación de:	Oportunidades
Son ejemplos de medidas que previenen incidentes y por consiguiente disminuyen la vulnerabilidad amenazas conocidas	-Cortafuegos externo -Candados -Control de accesos -Limitaciones horarias -Reservas de suministro -Diseño seguro -Activación solo de los servicios necesarios
Son ejemplos de medidas que disminuyen el impacto y por tanto protegen tanto contra amenazas previsibles como imprevisibles	-RAID -Copia de respaldo -Centro de respaldo -Líneas de comunicación redundantes -DMZ
Son ejemplos de medidas de seguridad que mejoran la seguridad indirectamente:	-Medidas de gestión de incidentes -Auditorias periódicas -Selección de personal de seguridad por especialistas -sistema de detección de intrusiones
Los cortafuegos parchean problemas de diseño como:	Falta de correspondencia biunívoca entre una maquina y una dirección IP
Para proteger las expectativas, en la fase de toma de requisitos debemos examinar tanto los requisitos funcionales como:	-Requisitos de control de acceso -Requisitos de fiabilidad -Requisitos de secreto
Existen errores en el software que facilitan el accesos no autorizados al sistema, usando programas como:	Exploits
Es el tipo de software donde todos los usuarios pueden examinar el código fuente	Software Libre
Cuando los requerimientos de seguridad son especialmente altos el uso de código ___________________ es inaceptable	Propietario
En este paso de debe añadir a todos los requisitos derivados de la funcionalidad del proyecto, los requisitos de seguridad que se deriven de las expectativas de la organización ante el sistema	Análisis
En este paso se deben de seleccionar las técnicas y tecnologías mas adecuadas para cumplir con los requerimientos de seguridad que se deducen del análisis	Diseño
Las funciones deben identificar siempre que sea posible al actor que ha desencadenado el evento	Autentificar al actor
Las funciones deben de dar al actor identificado los derechos predefinidos	Autorizar al actor
A priori cualquier actor debe tener derechos nulos o mínimos a menos que se le autorice lo contrario	Minimizar los privilegios
Debe dejarse evidencia de todos los intentos de autenticación tanto los exitosos como los fallidos . En el log debe incluirse almenos:	-Usuario -Dirección de origen -Fecha y hora -Recursos a los que se quiere acceder -Derecho que se pretendía ejercer sobre el recurso
Implica evitar todas las prácticas de programación que conducen a debilidades en el software	Construcción de un software seguro
Son unas de las practicas de programación que conducen a debilidades en el software	-Validar o limpiar todas las entradas -Evitar el desbordamiento de la pila
Esta practica considera como entradas cualquier información, sea la introducida por el usuario o bien nombres de archivos, variables de entorno, URLs, HTML, XML, etc.	Validar o limitar todas las entradas
Validad que las entradas a cada función son correctas previene:	-Desbordamiento de pila -Comportamientos no predecibles de la función
Se debe comprobar que la entrada tiene	-Valores y longitud manejables -Esta correctamente expresada en la codificación esperada
Esta práctica tiene los mismos efectos que validar todas las entradas	Inicializar las variables
Tanto al almacenar como al transmitir la información o enviar un mensaje, debemos utilizar los mejores __________________existentes en el mercado.	Algoritmos de cifrado
Cuando la información guardada sea suficientemente importante debemos introducir mecanismos de firma que garanticen que esta no se ha modificado entre el momento que se almacenó y el momento en que se utiliza	Comprobar la integridad de la información
Consiste en garantizar que una unidad de información ha desaparecido del sistema una vez haya sido utilizada.	Borrar efectivamente la información cuando deja de utilizarse
Consiste en estudiar las características de seguridad de los lenguajes utilizados y no utilizar las palabras claves o expresiones reconocidas como vulnerables	No utilizar comandos vulnerables del lenguaje elegido
Incluir en el plan de pruebas especificas de seguridad y examinar la integridad de:	Los componentes y el código
Practica que consiste que en caso de un error previsto, el programa debe terminar registrando en un log la razón del error	Lanzar una excepción cuando se produzca un error
En las pruebas se debe considerar:	-El comportamiento esperado -Fallos esperados del comportamiento habitual
Para probar la seguridad de la aplicación también podemos:	-Denegar acceso a archivos, librerías, variables de entorno y otros recursos necesarios
En la _____________________del software debemos asegurarnos de que este no es modificado respecto al código que hemos probado.	Implantación
Los archivos de configuración de la aplicación sólo deben ser modificables por ___________________	Los administradores del sistema
Son los cuatro tipo de mantenimiento	-Correctivo -Perfectivo -Evolutivo -Adaptativo
El parcheo que se realiza en sistemas operativos y aplicaciones para tapar los agujeros de seguridad que se van descubriendo se considera como mantenimiento	Correctivo
También se descubren con frecuencia defectos en la mayor parte de las medidas de seguridad basadas en software. Este es el motivo por el que una medida de seguridad robusta no debe basarse en:	El conocimiento de la existencia o de la naturaleza de esta
Se utiliza redundancia para:	-Eliminar los puntos únicos de fallo -Para emplear de forma fiable canales o medios que son inherentes
Minimiza el impacto de un incidente pero no disminuye la vulnerabilidad del sistema ante cualquier amenaza	La redundancia
Un clúster con fail-over es un ejemplo del uso del uso de redundancia. Su tiempo de recuperación suele ser de pocos minutos	Proceso
Las copias de seguridad suponen un empleo de redundancia de la información, siempre que haya una copia válida de la información disponible	Almacenamiento
Una lÍnea RDSI puede usarse como respaldo de una linea Frame-relay	Comunicación
Consiste básicamente en la capacidad de controlar y conocer quien y cuando gana acceso	Control de acceso lógico y físico
Un control de acceso bien aplicado nos permite:	-Saber quien ha hecho que, donde cuando -Controlar quien puede hacer que, donde y cuando
Es el control de acceso a discreción, en el que un usuario puede conceder y denegar accesos a los activos de que es propietario	DAC
Es el control de accesos obligatorios, en el que sólo el administrador pude gestionar los accesos	MAC
Es una mescla entre DAC y MAC y basa los accesos que podemos gestionar en el rol que tenemos en el sistema	RBAC
Es un refinamiento de DAC, por el que podemos mejorar la granularidad de derechos que concedemos a nuestros activos	ACL
Es el actor que en origen lo haya creado o adquirido, poseyendo legítimamente todos los derechos sobre ese activo	Propietario de los activos
Es el propietario de los recursos de los sistemas de información sobre los que se soporta la información	Administrador
Se encarga de proporcionar acceso a los recursos al resto de los actores	Administrador
Es la identidad efectiva ante el sistema de un actor que accede a los activos a través de sesiones	Cuenta de usuario
El actor que crea un activo	Autor
Es la propietaria de las credenciales de los sistemas, es el autor que gestiona el registro de usuarios junto con sus credenciales y los derechos sobre los activos en nombre de los propietarios	Autoridad
Es el medio por el que el usuario gana acceso a un activo, como puede ser información o un activo	Sesiones
Es el conjunto de accesos que un actor realiza desde que se le autentica y autoriza en el sistema	Sesión
Facilita un histórico del uso y propiedad de los activos, lo que permite una investigación de incidentes efectiva	Registro de acceso
Se utiliza para verificar la identidad en un momento dado de un actor. Esta verificación de identidad se conoce como:	Autenticación
Es la prueba presentada que podemos utilizar una identidad efectiva, normalmente llamada cuenta de usuario	Medio de autenticación
Esta compuesta por una cuenta de usuario y medio de autentificación	La credencial
Mediante un _____________________de usuarios, perfiles y credenciales se simplifica a gestión de accesos. Tanto para los administradores como para los usuarios	Registro centralizado
La clasificación de información, en su versión mas simple, puede ser:	-Confidencial -Sensible -Privada -Pública
Es la capacidad concedida o denegada a un usuario de acceder a un activo, que puede ser información o un servicio	Derecho
Derechos que permiten modificar los derechos de terceros sobre activos	Privilegio
Limitaciones genéricas , como "solo lectura", de acceso a un servicio o información	Permiso
El conjunto de derechos concedidos y denegados a un usuario dependiendo de su rol en la organización	Perfil de acceso
Es la meta-información acerca del activo, entre ella su: -identidad -sus atributos -los recursos que aporta -y las limitaciones de acceso	Las etiquetas
Es una partición física, técnica y organizativa de la organización	Zonas
Es una operación reversible por la que convertimos un mensaje en un conjunto de datos cuasi aleatorios, como entradas de esta operación se utilizan el mensaje y la clave	Cifrar
En este tipo de cifrado se utiliza la misma contraseña para cifrar y descifrar el mensaje	Cifrado simétrico
En este tipo de cifrado se utiliza una contraseña para cifrar y otra diferente para descifrar el mensaje	Cifrado asimétrico
Es la ocultación de un mensaje secreto dentro de otro mensaje secreto	Esteganografía
Consiste en hacernos indistinguibles del entorno, mimetizándonos o bien modificando el entorno	Camuflaje
Esta técnica consiste en almacenar suficiente cantidad de un suministro para soportar la interrupción de este durante un tiempo razonable	La técnica de Reserva
Consiste en la transferencia de un riesgo a una tercera parte a través de la suscripción de una póliza para obtener una contraprestación económica en caso de producirse un incidente	Seguros
Consiste en la identificación de nuestros activos físicos, normalmente mediante algún tipo de marca	Inventario y marcado
Es la técnica que se utiliza para asegurar que un activo no vigilado -continuará ahí cuando volvamos -que continuará en buen estado y -que nadie a conseguido acceso a través de él	Blindaje
Estas políticas de seguridad describen los principios de alto nivel que describen los objetivos y las características	Políticas de seguridad efectiva
Desarrollan las estrategias describiendo el ámbito de aplicación (donde y cuando) de las prácticas de seguridad	Normas de seguridad
Desarrollan las normas con especificaciones concretas, aplicables a ámbitos específicos de cumplimiento objetivamente comprobables	Los estándares
Desarrollan los estándares y las normas describiendo paso a paso quién y cómo se ejerce la práctica	Los procedimientos
Informan a los usuarios de sus obligaciones al utilizar los sistemas de organización	Las normas de uso aceptable
Definen compromisos mutuos de seguridad en las fronteras de la organización	Los acuerdos con terceros
Las __________________define la relación de una zona con las demás, cubriendo la comunicación de los activos y la transferencia de propiedad	Normas de seguridad
Garantizan la existencia a largo plazo de la organización, siendo el instrumento por el cual protegeremos la organización de la situación de peor caso	Planes de continuidad de operaciones
Mejoran la seguridad al definir y proteger nuestras relaciones tanto dentro de la organización como fuera de ella	Medidas legales
Es un dispositivo que filtra los mensajes o conexiones que pasan a través de el. Esta verificación puede producirse a cualquiera de los niveles de la torre OSI	Cortafuegos
Es una matriz de discos baratos, vistos como uno solo por el sistema operativo	RAID
-Concatenación de discos que se ve como uno -No hay distribución de la información y por tanto no es un autentico RAID -Aumenta la velocidad de lectura del disco lógico resultante	RAID NIVEL 0
-Dos discos contienen idéntica información -Tienen la importante desventaja de que suele ser difícil determinar que un disco contiene información valida y para determinarlo puede ser necesario interrumpir la operación del sistema -se conoce como mirror	RAID NIVEL 1
-La información se distribuye bit a bit entre 39 discos con paridad tipo Hamming -Se usa con muy poca frecuencia -	RAID NIVEL 2
-La información se distribuye byte a byte entre tres o más discos, dedicado uno a almacenar la paridad	RAID NIVEL 3
La información se distribuye bloque a bloque entre tres o más discos, dedicando uno a almacenar la paridad	RAID NIVEL 4
Concatenación de RAID de nivel 1 , resulta un RAID-1 más rápido	RAID NIVEL 1+0 o 10
Permite continuar la conexión a pesar de la caída de una línea	Conexiones redundantes
Son un conjunto de de dos o más host que proporcionan un conjunto de servicios de forma solidaria . Debido a esto necesitan acceso a un repositorio de información común	Cluster
Copia de respaldo, es una de las tecnologías más efectivas para reducir el impacto de incidentes	Backup
Son la clave de cualquier sistema de control de accesos en entornos medianos y grandes	Directorios
Los principales directorios actualmente son:	-LDAP -Active Directory -eDirectory

Descubre

Crear Tarjetas

Acerca de Nosotros

Explore Tarjetas

Comparta este Set de Tarjetas de Aprendizaje

Seguridad De La Información

Cómo estudiar sus tarjetas

Rango de Cartas a estudiar

100 Cartas en este set