CLICK HERE FOR BLOGGER TEMPLATES AND MYSPACE LAYOUTS »

viernes, 27 de febrero de 2009

SSL3

SSL

miércoles, 25 de febrero de 2009

lunes, 23 de febrero de 2009

PKI

(public key infrastructure - infraestructura de llave pública). En criptografía, es una disposición que ata las llaves públicas con su respectiva identidad de usuario por medio de una autoridad de certificación (certificate authority o CA). La identidad del usuario debe ser única por cada CA.

PKI emplea dos claves, una pública y otra privada. La primera para cifrar y la segunda para descifrar.

PKI es utilizado para, por ejemplo, para realizar transacciones comerciales seguras.

CIFRADO: consiste en transformar un texto en cifrado mediante un mecanismo de cifrado en un texto cifrado, gracias a unas información secreta o clave de cifrado se distinguen dos métodos generales de cifrado.

-Cifrado Asimétrico.
- Cifrado Simétrico.

FIRMAS DIGITALES:
es un proceso criptológico que permite asegurar la identidad del autor del documento, y la inalterabilidad del contenido del documento luego de haber sido confirmado, además de expresar la hora y fecha de dicha firma. Exige aclarar que este proceso se debe entender en un contexto que se basa en un acuerdo expresado entre las partes, mediante computadoras como instrumentos, para proponer las correspondientes ofertas y aceptaciones. En tal sentido no se está en la presencia de ninguna firma escrita sobre papel, lo que formula un caracter no tradicional a este tipo de contratación.

la firma digital tiene como principal característica asegurar la identidad del autor. La seguridad la da el principal componente de la firma digital: Las claves públicas. Este tipo de claves de conformación criptológica se dividen en dos tipos: privadas y públicas.

Las claves privadas son las que suplirian la tradicional firma al querer legitimar o autenticar un documento. Sin embargo un documento de ese tipo no esta excento de probables modificaciones para propio beneficio del destinatario, perjudicando a la parte subscriptora o autor. En este punto es cuando entra en juego la clave pública, justamente para evitar esa problemática.

La clave pública actúa como una suerte de "llave" que tiene a su disposición el destinatario para "abrir" el documento encriptado, pero solo podra obtener esa clave pública a traves de una autorización del autor del documento. Una vez "abierto" o desencriptado el documento, el destinatario procederá a efectuar las operaciones pertinentes al contenido del documento.

Lo importante es que de esta manera, al otorgarle al autor una clave pública y otra privada, goza de una seguridad importante al imposibilitar e impedir cualquier cambio a su declaración de voluntad que pueda perjudicarlo, ya que la redacción del documento esta amparada por la clave privada, mientras que la clave pública solo posibilita la "lectura" del mismo por parte de la otra parte.
Procedimiento:

a) El autor del documento lo encripta con su clave privada y secreta que solo él conoce.
b) El destinatario lo desencripta con la clave pública del autor y recupera el documento.
Los certificados de claves publicas y privadas son otorgadas por un Ente Licenciante(3), los cuales llevan un registro actualizado de todos los certficados emitidos, pudiendo darlos de baja al solo pedido del propietario.


Smart Cards: Una smart card o tarjeta inteligente.tiene una parte interior – una tarjeta de crédito normal es una simple pieza de plástico. Normalmente, dentro de una smart card podemos un microprocesador integrado en la propia tarjeta. Este microprocesador está debajo de un contacto dorado en un lado de la tarjeta.

la desventaja de este método es que puede ser fácilmente leído, escrito, borrado o modificado con un equipamiento especializado. Por esto mismo, estas tiras magnéticas no son los mejores sitios para almacenar información sensitiva e importante.

El microprocesador en la smart card está puesto para la seguridad. El ordenador y el lector de tarjetas realmente “hablan” con el microprocesador, y lo que hace es dar acceso a los datos de la tarjeta. Si el ordenador pudiera leer y escribir en la RAM de la smart card, no sería muy diferente de un disquete convencional.

Una smart card puede tener hasta 8 kilobytes de RAM, 346 de kilobytes de ROM y 16 bits de microprocesador. Esta tarjeta usa un interfaz serie y recibe la alimentación eléctrica de fuentes externas como por ejemplo, un lector de tarjetas mencionado anteriormente. El procesador usa un limitado grupo de instrucciones para las aplicaciones como la criptografia.

¿Donde se utilizan?

Las aplicaciones más comunes usadas en smart cards son:

  • Tarjetas de crédito
  • Monedero electrónico
  • Sistemas de seguridad informática
  • Comunicación wireless
  • Sistemas bancarios
  • Televisión por satélite
  • Identificación segura

Algunas smart card pueden ser usadas con un lector de este tipo de tarjetas conectada a un ordenador personal para realizar autentificación de usuarios. Los navegadores de Internet pueden también usar la tecnología de las smart cards para suplementar SSL y mejorar la seguridad de las transacciones de Internet. Se pueden encontrar también en teléfonos móviles y máquinas expendedoras.

tokens: es un dispositivo electrónico que se le da a un usuario autorizado de un servicio computarizado para facilitar el proceso de autenticación.

Los tokens electrónicos tienen un tamaño pequeño que permiten ser cómodamente llevados en el bolsillo o la cartera y son normalmente diseñados para atarlos a un llavero. Los tokens electrónicos se usan para almacenar claves criptográficas como firmas digitales, o datos biometricos como las huellas digitales. Algunos diseños se hacen a prueba de alteraciones, otro pueden incluir teclados para la entrada de un PIN.

lunes, 9 de febrero de 2009

CRIPTOGRAFIA

Seguridad Informatica

viernes, 30 de enero de 2009

Norma ISO 17799

ISO 17799 es una norma internacional que ofrece recomendaciones para realizar la gestión de la seguridad de la información dirigidas a los responsables de iniciar, implantar y mantener la seguridad de una organización.

ISO 17799 define la información como un activo que posee valor para la organización y requiere por tanto de una protección adecuada.

La seguridad de la información se define como la preservación de:

- Confidencialidad
- Integridad
- Disponibilidad
- No Repudio

El objetivo de la norma ISO 17799 es proporsinar una base común para desarrollar normas de seguridad dentro de las organizaciones y ser una practica eficazde la gestión de seguridad.
La adaptación española de la norma se denomina UNE-ISO/IEC 17799.


Se trata de una norma NO CERTIFICABLE, pero que recoge la relación de controles a aplicar para establecer un Sistema de gestión de la Seguridad de la información (SGSI), según la norma UNE71502, CERTIFICABLE.

En 1995 el British Standard Institute publica la norma BS 7799, un código
de buenas prácticas para la gestión de la seguridad de la información.

En 1998, también el BSI publica la norma BS 7799-2, especificaciones para los sistemas de gestión de la seguridad de la información; se revisa en
2002.

Tras una revisión de ambas partes de BS 7799 (1999), la primera es adoptada como norma ISO en 2000 y denominada ISO/IEC 17799:

– Conjunto completo de controles que conforman las buenas prácticas de seguridad de la información.

– Aplicable por toda organización, con independencia de su tamaño.

– Flexible e independiente de cualquier solución de seguridad concreta: recomendaciones neutrales con respecto a la tecnología.

En 2002 la norma ISO se adopta como UNE sin apenas modificación (UNE 17799), y en 2004 se establece la norma UNE 71502, basada en BS7799-2 (no existe equivalente ISO).

La norma UNE-ISO/IEC 17799 establece diez dominios de control que cubren por completo la Gestión de la Seguridad de la Información:

1. Política de seguridad.
2. Aspectos organizativos para la seguridad.
3. Clasificación y control de activos.
4. Seguridad ligada al personal.
5. Seguridad física y del entorno.
6. Gestión de comunicaciones y operaciones.
7. Control de accesos.
8. Desarrollo y mantenimiento de sistemas.
9. Gestión de continuidad del negocio.
10.Conformidad con la legislación.

De estos diez dominios se derivan 36 objetivos de control (resultados que se esperan alcanzar mediante la implementación de controles) y 127 controles (prácticas, procedimientos o mecanismos que reducen el nivel de riesgo).


Politicas de seguridad.

Dirigir y dar soporte a la gestión de la seguridad de la información.

L a alta dirección debe definir una política que refleje las lineasdirectrices de la organización en materia de seguridad, aprobarla y publicarla de la forma adecuada a todo el personal implicado en la segurdad de la información.

La política se constituye en la base de todo el sistema de seguridad de la información.

La alta dirección debe apoyar visiblemente la seguridad de la información en la compañía.

Aspectos Oganizativos para la Seguridad.

Gestionar la seguridad de la información dentro de la organización.

Mantener la seguridad de los recursos de tratamiento de la información y de los activos de información de la organización que son accedidos por terceros.

Mantener la seguridad de la información cuando la responsabilidad de su tratamiento se ha externalizado a otra organización.

Gestionar la seguridad de la información dentro de la organización.

Mantener la seguridad de los recursos de tratamiento de la información y de los activos de información de la organización que son accedidos por terceros.

Mantener la seguridad de la información cuando la responsabilidad de su tratamiento se ha externalizado a otra organización.


CLASIFICACIÓN Y CONTROL DE ACTIVOS

Mantener una protección adecuada sobre los activos de la organización.

Asegurar un nivel de protección adecuado a los activos de información.

SEGURIDAD FÍSICA Y DEL ENTORNO.

Evitar accesos no autorizados, daños e interferencias contra los locales y la información de la organización.

Evitar pérdidas, daños o comprometer los activos así como la interrupción de las actividades de la organización.

Prevenir las exposiciones a riesgo o robos de información y de recursos de tratamiento de información.

GESTIÓN DE COMUNICACIONES Y OPERACIONES.

Asegurar la operación correcta y segura de los recursos de tratamiento de información.

Minimizar el riesgo de fallos en los sistemas.

Proteger la integridad del software y de la información.

Mantener la integridad y la disponibilidad de los servicios de tratamiento de información y comunicación.

Asegurar la salvaguarda de la información en las redes y la protección de su infraestructura de apoyo.

Evitar daños a los activos e interrupciones de actividades de la Organización.

Prevenir la pérdida, modificación o mal uso de la información intercambiada entre organizaciones.

CONTROL DE ACCESOS

Controlar los accesos a la información.

Evitar accesos no autorizados a los sistemas de información.

Evitar el acceso de usuarios no autorizados.

Protección de los servicios en red.

Evitar accesos no autorizados a ordenadores.

Evitar el acceso no autorizado a la información contenida en los sistemas.

Detectar actividades no autorizadas.

Garantizar la seguridad de la información cuando se usan dispositivos de informática móvil y teletrabajo.

DESARROLLO Y MANTENIMIENTO DE SISTEMAS.

Asegurar que la seguridad está incluida dentro de los sistemas de información.

Evitar pérdidas, modificaciones o mal uso de los datos de usuario en las aplicaciones.

Proteger la confidencialidad, autenticidad e integridad de la información.

Asegurar que los proyectos de Tecnología de la Información y las actividades complementarias son llevados a cabo de una forma segura.

Mantener la seguridad del software y la información de la aplicación del sistema.


GESTIÓN DE CONTINUIDAD DEL NEGOCIO.

Reaccionar a la interrupción de actividades del negocio y proteger sus procesos críticos frente grandes fallos o desastres.



CONFORMIDAD

Evitar el incumplimiento de cualquier ley, estatuto, regulación u obligación contractual y de cualquier requerimiento de seguridad.

Garantizar la alineación de los sistemas con la política de seguridad de la organización y con la normativa derivada de la misma.

Maximizar la efectividad y minimizar la interferencia de o desde el proceso de auditoría de sistemas.


Auditoria

Conociendo el nivel de cumplimiento actual, es posible determinar el nivel mínimo aceptable y el nivel objetivo en la organización:

– Nivel mínimo aceptable. Estado con las mínimas garantías de seguridad necesarias para trabajar con la información corporativa.

– Nivel objetivo. Estado de seguridad de referencia para la organización, con un alto grado de cumplimiento ISO 17799.



ISO 17799 no es una norma tecnológica.
– Ha sido redactada de forma flexible e independiente de cualquier solución de seguridad específica.

– Proporciona buenas prácticas neutrales con respecto a la tecnología y a las soluciones disponibles en el mercado.

Estas características posibilitan su implantación en todo tipo de organizaciones, sin importar su tamaño o sector de negocio, pero al mismo tiempo son un argumento para los detractores de la norma.

La adopción de la norma ISO 17799 proporciona diferentes ventajas a cualquier organización:

– Aumento de la seguridad efectiva de los sistemas de información.

– Correcta planificación y gestión de la seguridad.

– Garantías de continuidad del negocio.

– Mejora contínua a través del proceso de auditoría interna.

– Incremento de los niveles de confianza de nuestros clientes y partners.

– Aumento del valor comercial y mejora de la imagen de la
organización.

– ¡CERTIFICACIÓN! (UNE 71502).