Seguridaden el Desarrollo de Software

About This Presentation

Title:

Seguridaden el Desarrollo de Software

Description:

Lunes 7: patr n de dise o para brindar mayor seguridad ... Dialers. Exploit. Bots. Pharming. Amenazas de Seguridad. Backdoor. Bomba fork. Keystroke o Keyloggers ... – PowerPoint PPT presentation

Number of Views:248

Avg rating:3.0/5.0

Slides: 290

Provided by: juancarlos5

Category:

more less

Transcript and Presenter's Notes

Title: Seguridaden el Desarrollo de Software

1
Seguridaden el Desarrollo de Software

M.C. Juan Carlos Olivares Rojas

Noviembre 2009
2
Agenda

Principios de seguridad informática.
Definir y seguir las mejores prácticas de diseño.
Análisis de riesgos.
Creación de documentos seguros, herramientas y
mejores prácticas para consumidores.

3
Agenda

Políticas de código seguro.
Políticas de prueba segura.
Planeación de respuestas de seguridad.
Modelos de Control de acceso basado en roles.

4
Pendientes

Lunes 7 patrón de diseño para brindar mayor
seguridad a las aplicaciones. (implantación de
una herramienta de seguridad opcionalmente-)
Jueves 10 programación de un videojuego.
Lunes 14 nivelaciones unidad 1,2 y 3. Entrega de
examen unidad 4 reestructuración de una
aplicación Web para brindar contabilidad y
mejores controles de acceso.

5
Qué es la seguridad?

El término seguridad proviene del latín
securitas. Se refiere a la seguridad como la
ausencia de riesgo o también a la confianza en
algo o alguien.
Otras definiciones de seguridad
Mecanismos de control que evitan el uso no
autorizado de recursos.
Protección de información (datos) de daño
intencionado o accidental

6
Seguridad

Los requisitos básicos de seguridad en TICs son
Autenticación
Control de Acceso
Confidencialidad
Integridad
No repudio
Disponibilidad
Privacidad

7
Evolución de la seguridad

Al inicio de la computación, al sólo existir
pocas máquinas y pocos usuario la seguridad era
prácticamente nula ya que se tenía confianza
plena en las personas.
Al popularizarse la computación personal trajo
consigo que muchas personas pudiesen manejar
computadoras. Esto originó que se dejará de
confiar en las personas (diferencia entre vivir
en un pueblo chico y uno grande).

8
Evolución de la Seguridad

Hasta este momento la seguridad era aun
controlable. Con la llegada de redes de
computadoras (LAN) y el acceso a redes externas
(WAN) como Internet el problema se agravó
exponencialmente.
Actualmente es cada vez mayor la cultura con
respecto a la seguridad de las tecnologías de la
información.

9
Evolución de la Seguridad

En un principio cuando las empresas empezaron a
considerar a las TICs como factores claves de
éxito fue necesario que hubiese una persona
encargada de la seguridad de dichos activos
(1970s).
En la década de 1980 fue necesaria la creación de
grupos de trabajos de seguridad dentro de las
empresas. Para la década de los 2000 la seguridad
es cosa de todos los miembros.

10
Los grandes problemas

Cuál es el elemento más importante en una
oganización? Los activos, principalmente activos
de información.
cuál es el principal activo en una firma como
ATT, Telmex, etc.?
Cobre en 1976 60
Cobre, Fibra e Infraestructura 30 aprox. en 2008.

11
Los grandes problemas

Dónde está el demás dinero?
Sistemas de Información
Cúal es el activo más importante en Coca-Cola?
La fórmula secreta. Es la misma desde 1886, sólo
3 personas la conocen en el mundo.
Esta fórmula está protegida como secreto
comercial.

12
Los grandes problemas

El principal problema con la seguridad en TICs es
que vivimos en una sociedad de información
(conocimiento) donde está representa poder y el
poder se ve reflejado en muchos factores,
principalmente dinero.
En México el 30 de los encargados de seguridad
informática nunca se reúne con los altos
directivos para hablar del aseguramiento de los
activos de información.

13
Problemas de Seguridad

Prncipales mitos de la seguridad en TICs
Ya compramos un Firewall, ya tenemos seguridad
no?.
Manejar el oscurantismo de lo inesperado.
Nunca ha pasado nada, o al menos no nos hemos
dado cuenta.

14
Problemas de Seguridad

No estoy en Internet, no necesito seguridad.
Mis empleados son gente de confianza!!!
Ver el problema de la seguridad como un problema
tecnológico.
La seguridad es relativa. Lo único seguro es la
muerte y los impuestos.

15
Problemas de Seguridad

El 1 de Mayo de 2004, el gusano Sasser en una
semana infectó a 18 millones de computadoras en
el mundo, trajo a miles de negocios de rodillas y
costó un estimado de 3,500 millones de Dólares.
Algunas estadísticas en cuestión de problemas de
seguridad son
32 de la pérdida de datos es causada por errores
humanos.

16
Problemas de Seguridad

25 de la pérdida de datos se deben a fallas
físicas
15 de la pérdida de datos es por la pérdida o
robo del activo de información.
La seguridad debe verse como una inversión no
como un gasto. Es cierto que la seguridad es
costosa pero es más costosa la inseguridad.
Ninguna medicina es útil si el paciente no la
toma

17
Problemas de Seguridad

La seguridad en TICs no solo afecta a recursos
computacionales, sino a cualquier activo de
información de la empresa. Los activos pueden
ser
Información propiamente tal bases de datos,
archivos, conocimiento de las personas.
Documentos contratos, manuales, facturas,
pagarés, solicitudes de créditos.

18
Problemas de Seguridad

Software aplicaciones, sistemas operativos,
utilitarios.
Físicos equipos, edificios, redes
Recursos humanos empleados internos y externos
Servicios electricidad, soporte, mantención.

19
Organismos internacionales

Existen muchas organizaciones internacionales
encargadas de la seguridad informática entre las
principales destacan ISO, IEEE, ACM, ISACA
(Information System Audit and Control
Association), ALSI (Academia Latinoamericana de
Seguridad Informática).
Dichos organismos se encargan de regular mejores
prácticas (estándares, metodologías, guías base,
etc.) en cuestión de seguridad informática.

20
Normatividad en seguridad

Una de las responsabilidades de la administración
de la función informática (administración de
TICs) es garantizar la seguridad de los activos
de información.
El proceso de aseguramiento de los activos de
información sigue una serie de pasos comunes
Identificación de activos de información y
priorización de los mismos.

21
Normatividad de Seguridad

Se debe evaluar el activo para ver si merece la
pena implementar controles de seguridad.
Se debe de guiar el trabajo a través de una
normatividad o estándares los cuales nos
indicarán Qué trabajo hay que hacer, Quién lo
debe hacer, Cuándo se hará y con qué frecuencia.
Los estándares deben de ser claros (se deben
adaptar a las necesidades internas)

22
Normatividad en Seguridad

No se puede administrar lo que no se puede medir,
es una de las máximas premisas de la
administración. La seguridad debe de poderse
cuantificar su desempeño en términos objetivos y
tangibles.
Después de medir hay que evaluar el desempeño e
indicar que acciones se deben de tomar.

23
Normatividad en Seguridad

El componente crítico en todo sistema es el
usuario y la seguridad no es la excepción.
De qué sirve tener todo un sistema de seguridad
avanzada en una casa si el usuario deja su llave
pegada a la puerta (o su contraseña pegada al
monitor de su computadora)?
Se debe capacitar a los usuarios.

24
Normatividad de Seguridad

La gran mayoría de los incidentes de seguridad
ocurren desde dentro, teniendo el mito que es más
frecuente hacia el exterior.
La mejor forma de garantizar seguridad es a
través de la planeación.
La planeación se compone de tres fases
estimación, itinerario y seguimiento.

25
Normatividad de Seguridad

Existen dos enfoques de seguridad
En el discrecional, los usuarios tienen derechos
de acceso diferentes (privilegios) por lo tanto
son muy flexibles
El control obligatorio, cada objeto está
etiquetado con un nivel de clasificación y a cada
usuario se le da un nivel de acreditación. Son
sistemas jerárquicos y rígidos.

26
Normatividad de Seguridad

La autenticación es el proceso que consiste en
verificar que el usuario es quién dice ser.
La autorización es el proceso para que un usuario
pueda realizar una acción.
Registro de auditoría es un archivo o base de
datos en el que el sistema lleva la cuenta de las
operaciones realizadas por los usuarios.

27
Normatividad de Seguridad

Los controles de acceso obligatorio se rigen en
base al principio de Bell-LaPadula
El usuario i puede recuperar el objeto j sólo si
el nivel de acreditación de i es mayor o igual al
nivel de clasificación de j (propiedad de
seguridad simple).

28
Normatividad de Seguridad

El usuario i puede actualizar el objeto j sólo si
el nivel de acreditación de i es igual al nivel
de clasificación de j.
Los controles de acceso se dividen en 4 D, C, B
y A.
Donde D es la protección mínima, C es
discrecional, B es obligatoria y A es verificada.

29
Nomrmatividad de Seguridad

Dentro de C, se encuentran los niveles C1 (menos
segura) y C2.
DOS está clasificado en D
Qué es más seguro Windows o Linux?
Linux C1
Windows C2

30
Seguridad Física

No sobrecargar los circuitos eléctricos y
cordones de extensión. Asegurarse que el voltaje
combinado no exceda la capacidad de los
circuitos.
Tener un extintor de fuegos tipos C.
No utilizar ningún tipo de electrodoméstico
dentro del site.

31
Seguridad Física

No tomar líquidos dentro del site.
No fumar.
Tener letreros de seguridad.
No situar equipos en sitios altos para evitar
caídas. No colocar equipos cerca de ventanas.

32
Seguridad Lógica

La seguridad lógica está encargada de proveer una
serie de controles que ayuden a asegurar los
activos de información
Ejemplo un acuerdo en papel por el cual un
usuario que desea obtener un bien o servicio de
la compañía está de acuerdo en su uso y respeta
lo estipulado.

33
Seguridad del Personal

El recurso humano o capital intelectual es de
suma importancia y garantizar su seguridad física
en entornos donde la tecnología ayuda en los
procesos de negocio es vital.
Todos los controles deben de tener indicado la
forma en que deben de ser utilizados por los
miembros de la organización.

34
Usuarios y grupos. Roles

En muchos sistemas se requiere de la
autenticación y autorización de los usuarios para
acceder a los recursos del sistema. A este tipo
de mecanismos se les llama controles de acceso.
No sólo se deben indicar usuarios y roles a nivel
de sistema de cómputo sino que deben de estar a
nivel organizacional.

35
Usuarios y Grupos. Roles

Los roles son el papel o conjunto de privilegios
que tiene un usuario o grupo.
Se recomienda no manejar cuentas genéricas ni
contraseñas cortas. Aunque esto se determina en
las políticas de controles de acceso. Otros
factores a determinar son por ejemplo la
frecuencia del cambio de la contraseña.

36
Usuarios y Grupos. Roles

Aquí son muy importantes los controles
administrativos dado que se debe deslindar
responsabilidades a los usuarios.
Se debe hacer distinción entre los dueños,
custodios y usuarios del activo de información.
Así por ejemplo un usuario es responsable de su
contraseña de usuario y no el administrador del
sistema

37
Intrusos

Se considera intruso a toda aquella persona o
software que entra al sistema sin autorización.
Las intrusiones a los sistemas de cómputo son uno
de las principales incidentes de seguridad.
La intrusión viola el principio de
confidencialidad de la información pudiendo
alterar la integridad y disponibilidad del
recurso.

38
Código malicioso

Se considera código malicioso a todo aquel tipo
de software que con o sin la ayuda de un humano
intenta vulnerar huecos de seguridad en un
sistema.
La información puede ser atacada de la siguiente
formaIntercepción, Interrupción, Modificación y
Fabricación.

39
Amenazas de Seguridad

Los ataques pueden ser
Ataques pasivos
Ataques activos
Ingeniería Social
Gusanos
Troyanos
Adware

40
Amenazas de Seguridad

Virus informáticos
Spyware
Dialers
Exploit
Bots
Pharming

41
Amenazas de Seguridad

Backdoor
Bomba fork
Keystroke o Keyloggers
Párasito Informático

42
Amenazas de Seguridad

Phishings
Pornware
Rabbit
Rootkit
Spam
Pop-Ups
Bomba Lógica
Cookies (Malas)
Trampas y/o Inocentadas

43
Mecanismos de Seguridad

Cifrado
Autorización
Autenticación
Auditoría

44
Mecanismos de Seguridad

Derecho a la intimidad
Elaboración de perfiles
Dispositivos biométricos
Uso de VPN
Uso de certificados de autoridad

45
Mecanismos de Seguridad

Antivirus
Firewall
Anti-Spyware
Anti-Rootkits
Parches (Service Pack)
Configuraciones
Trucos, Trucos y más trucos

46
Mecanismos de Seguridad

Hacer copias de seguridad
Habilitar las zonas de seguridad
Utilizar antivirus y dos firewalls
Control para padres
Utilización de sockets seguros (SSL)

47
Mecanismos de Seguridad

Emplear claves difíciles de acordar.
Comprobar el estado del sistema operativo.
Comprobación del estado del hardware
Evitar descargas de archivos.
IDS Sistemas Detector de Intrusos
Utilización de Proxys

48
Espionaje

El espionaje es considerado otro tipo de
incidente de seguridad caracterizado por la
intrusión de un agente externo al sistema para el
robo de información.
El espionaje es difícil de detectar y puede
ocurrir en una infinidad de niveles.

49
Piratería

La piratería es considerada un incidente más de
seguridad y tiene dos vertientes.
La primera vertiente está enfocada al hecho de
que utilizar software pirata hace más vulnerable
a nuestros sistemas.
Por otra parte nos exponemos a problemas de
licenciamiento que pueden contribuir a la no
disponibilidad de un servicio o proceso de
negocio.

50
Síntomas de Riesgo

Un síntoma es la salida de una función normal que
indica una posible anormalidad. Un síntoma es
subjetivo, es observado por el paciente y no
medible
Los síntomas pueden ser crónicos, retardados o
esporádicos. Se pueden mejorar o empeorar.
Un signo es notificado por otras personas

51
Administración de Riesgos

La administración de riesgos es una etapa crucial
para el aseguramiento de los activos de
información.
La administración de riesgos incluye la detección
de riesgos y el control de los mismos.
Qué es el riesgo?
Es la probabilidad de que una actividad no
deseada ocurra.

52
Administración del Riesgo

Todas las actividades tienen riesgo. No existe
una actividad 100 ni 0 riesgosa.

53
La vulnerabilidad

Es un factor interno caracterizado por un hueco
de seguridad (una debilidad del sistema) que
puede ser aprovechada por una amenaza.
Las vulnerabilidades deben ser los elementos que
deban atender los controles de seguridad para
asegurar a los activos de información.

54
Las amenazas

Son factores externos que pueden aprovechar las
vulnerabilidades de un sistema para exponer a un
activo de información.
Las amenazas son más difíciles de prevenir dado
que ya no podemos anticiparnos del todo.
Los controles tienden a minimizar las amenazas y
vulnerabilidades.

55
Los ataques

Se dan cuando se combina una amenaza con una
vulnerabilidad.
Los ataques son cuantificados al impacto que
pueden producir, generalmente expresados en
dinero.
El impacto puede darse por ejemplo al no tener un
recurso disponible causando pérdidas económicas
al no poder trabajar o bien un daño de imagen
social.

56
Administración del Riesgo
Cuál es la probabilidad de que este evento
ocurra?
57
Los riesgos

Calculado por el producto de la probabilidad de
ocurrencia de la amenaza vs los impactos que
tendría el activo de materializarse dicha
amenaza.
Los riesgos generalmente son calculados a nivel
estadístico como el número de frecuencia en que
ha ocurrido un evento contra el número total de
eventos disponibles.

58
Evaluación del Riesgo

Existen muchas metodologías para calcular el
riesgo. Todas ellas dependen de los usuarios.
Los riesgos se calculan en tres niveles alto,
medio y bajo.
Los riesgos son calculados por dimensiones como
impacto y frecuencia de ocurrencia.

59
Evaluación del Riesgo
60
Modelado de Riesgos
Explotan
Amenazas
Vulnerabilidades
Protección contra
Aumenta
Aumenta
Exponen
Riesgo
Activos
Controles
Reduce
Establece
Tiene
Implementan
Aumenta
Valor del activo
Requerimientos de seguridad
Impacto en la organización
61
Modelado de Riesgos

Deben intervenir además del personal de
seguridad, los dueños, custodios y usuarios de
los activos de información.
Existen dos tipos de análisis de riesgo Existen
dos tipos de análisis de riesgos
Cualitativo y cuantitativo.

62
Modelado de Riesgos
63
Modelado de Riesgos
64
Matriz de Riesgos
65
Matriz de Riesgos
66
Matriz de Riesgos
67
Matriz de Riesgos
68
Reglas del Negocio
Atención a Clientes
Ejemplos más estructurados
Reglas de Operación
Facturación
Entrega de Servicios
69
Simuladores de Riesgo

Seguros de Vida
194.224.248.32/simuladores/
Simuladores de Negocios
http//www.gameonsoftware.com/index.htm
http//www.beer-war.com/
http//www.riskybusiness.com/

70
Pasos Recomendados en una Estrategia de Seguridad
71
Evaluación de Activos
72
Caso 1

El Hospital Santa Cecilia, el cual cuenta con
más de 100 años de operación en la ciudad de
Monterrey. Cuenta con tres hospitales satélites
en donde se atienden urgencias y medicina
familiar.
Desde hace dos años implementó un sistema para
sistematizar las historias clínicas de sus
pacientes. Al momento llevan un 30 de avance en
la captura de esa información, por lo que existe
todavía gran cantidad de información en archivos
de papel.

73
Caso 1

El Hospital cuenta con más de 300 equipos de
cómputo conectados a través de su red local, los
cuales mantienen estrecha comunicación con el
equipo central.
Así mismo maneja conexiones con aseguradoras para
la transferencia de información referente a
trámites de sus pacientes.

74
Caso 1

Hace cinco años el hospital se conectó a
Internet, ya que esto facilitaba la comunicación
con sus clientes y proveedores.
Existen canales de comunicación tales como el
correo electrónico y mensajería, por donde fluye
todo tipo de información (incluyendo la
transferencia de archivos).

75
Caso 1

A mediados del año pasado lanzó su portal del
área de laboratorio y check up, con lo cual sus
clientes pueden acceder a sus resultados de
laboratorio y enviárselos a su doctor.
Dentro de los planes de expansión, el hospital
está considerando asociarse con la Clínica Mayo
con el fin de transferir tecnología y establecer
acuerdos de investigación.

76
Caso 1

Actualmente el Hospital cuenta con un Centro de
Investigación líder a nivel mundial en
Neurocirugía y cuenta con dos investigadores que
han ganado premios Nobel por las investigaciones
realizadas en este campo. Esto le ha dado una
ventaja competitiva a este hospital.
En los próximos meses se empezará a realizar un
reemplazo de equipo de cómputo y se necesita
tomar una decisión sobre como disponer del equipo
viejo.

77
Actividad 1

En base al caso anterior realizar un análisis de
riesgo. Se deberá utilizar la metodología
anteriormente descrita.
Para cada activo de información presentar
posibles controles a implementar para mitigar.
Existen metodologías más robustas y complejas
como Cobra para la administración del riesgo.

78
Los recursos a proteger

Los recursos a proteger son muy variados.
El análisis de riesgos es una herramienta que nos
va a permitir tomar mejores decisiones sobre que
activos de información se deben de proteger y en
que orden.
En algunas ocasiones se revisa el control interno
de la organización para determinar el valor de
sus activos.

79
Control de acceso

Es una tecnología, política, proceso o
procedimiento que contrarresta una amenaza y por
consecuencia mitiga los riesgos asociados a un
activo.
Los controles de acceso se encargan de asegurar
que los activos de información los utilicen quien
debe de utilizarlos. Nótese que no se valida su
correcto funcionamiento.

80
Controles de A. ISO 27000

A.11.1 Business requirement for access control.
Objetivo una política de control de acceso debe
ser establecida, documentada y revisada en base a
los requerimientos de negocio.
A.11.2 User access management Los temas que se
norman en términos generales son Habilitación de
cuentas y registro de usuarios, mediante un
proceso formal y expedito que incluya altas,
bajas, suspensiones y cambios de los mismos

81
Controles de Acceso

A.11.3 User responsibilities
Objetivo Prevenir acceso no autorizado y evitar
comprometer o el robo de información Uso de
contraseñas, se deben seguir las mejores
prácticas en la selección y uso de contraseñas.
Escritorio limpio y equipo no atendido, los
usuarios deben guardar en forma segura la
información crítica del negocio que esté en
cualquiera de sus.

82
Control de Acceso

A.11.5 Operating system access control
Los accesos específicos a los sistemas operativos
de la infraestructura de TI deben ser controlados
por procedimientos de identificación y
autenticación robustos, se debe minimizar el
desplegar una vez que los usuarios tienen acceso
a estos sistemas información del tipo y versión
del sistema operativo para evitar brindar
información innecesaria

83
Control de Acceso

A.11.6 Application and information access
control El acceso a la información y sistemas de
información ya sea por usuarios o personal de
soporte debe ser restringido de acuerdo con el
proceso de asignación de privilegios. La
infraestructura de cómputo de los sistemas de
información con información sensitiva debe ser
separada para evitar accesos no autorizados. Se
debe limitar y registrar el número de intentos
fallidos de conexión de los usuarios de los
sistemas de información.

84
Base Line

Un base line es un conjunto de reglas
establecidas que forman una base de normas o
prácticas sobre un proceso o sistema.
Estas normas o prácticas son establecidas
normalmente como una base de comparación entre
organizaciones o empresas para verificar un nivel
de cumplimiento.

85
Base Line

Para poder establecer un base line, se requieren
varios elementos
basarse en algunos estándares internacionales o
mejores prácticas,
normas publicadas por algunas organizaciones
reconocidas internacionalmente y
experiencias obtenidas por la práctica en las
organizaciones.

86
Base Line

Establecer un base line en seguridad de
información, requiere mucha experiencia y
madurez, no es muy práctico solo copiar base
line de otras organizaciones dado que cada
organización es diferente, tiene necesidades
diferentes de acuerdo a sus niveles de madurez y
necesidades.
Generalmente están listados en orden de
importancia aunque pueden no serlo.

87
Base Line Control Acceso

Para cada activo de información y sistema de
información debe existir una bitácora externa al
mismo para el registro de usuarios autorizados
para acceder a los mismos.
Debe establecerse procedimientos para verificar
que el nivel de acceso concedido es apropiado
para el propósito de negocio y que sea
consistente con la directriz de control de accesos

88
Base Line Control de Acceso

El procedimiento de creación de usuarios debe
indicar como se otorga la autorización requerida
antes de otorgar el acceso solicitado.
El formato de solicitud de autorización para dar
de alta o modificación de un usuario a un activo
con los siguientes campos
Nombre del usuario
Sistema o aplicación al cual requiere acceso,
revocación o modificación.

89
Base Line Control de Acceso

Organización a la que pertenece
Privilegios solicitados
Gerencia que solicita el acceso
El usuario final que se le brinda el acceso debe
recibir una notificación con el permiso
otorgado, privilegios y responsabilidades
asociadas a la cuenta o en su defecto la razón
por la que fue denegado el acceso

90
Base Line Control de Acceso

Se debe asegurar no proporcionar accesos hasta no
completar los procedimientos de autorización
establecidos.
Se debe mantener un registro formal de todas las
personas registradas con derecho a usar los
activos de información o sistemas de información.

91
Base Line Control de Acceso

La autorización del acceso al sistema debe
realizarse por el administrador de a cargo de la
custodia del activo de información o sistema de
información y debe registrarse en la bitácora de
usuarios autorizados
La bitácora de registro de usuarios debe tener al
menos los siguientes campos
Nombre usuario
Organización a la que pertenece
Identificador del usuario en el sistema

92
Base Line Control de Acceso

Grupo al que pertenece (en caso que los
privilegios se administren por grupo)
Rol del usuario en el sistema Administrador,
Desarrollador de software, Operador de respaldo,
etc.
Usuario de aplicación
Privilegios otorgados en el sistema o aplicación
Fecha en que fueron otorgados
Estado actual del usuario
Fecha del último cambio en los accesos
Persona que autorizó la creación de usuario y los
privilegios otorgados

93
Base Line Control de Acceso

En el caso que un activo de información o sistema
de información se entregue en custodia a una
determinada organización se debe firmar una carta
responsiva en la cual acepta la responsabilidad
de la custodia del activo de información así como
de las operaciones autorizadas a ejecutar

94
Base Line Control de Acceso

La organización usuaria debe notificar al
custodio del activo de información o del sistema
de información cuando un usuario haya cambiado de
rol o haya salido de la compañía para la
revocación inmediata del acceso.
Se debe remover inmediatamente los derechos de
acceso cambiado de área de trabajo o abandonado
la organización.

95
Base Line Control de Acceso

Se debe de verificar periódicamente las cuentas
de los usuarios y remover aquellos
identificadores de usuarios que resulten
redundantes.
Métricas
Número de Altas y Bajas de usuarios
Número de autorizaciones para dar de alta o
modificación de un usuario a un activo de
información
Número de usuarios con acceso permitido.

96
Detección de intrusos

La detección de intrusos es una actividad díficil
de llevarse acabo.
Se puede realizar la detección de intrusos con
herramientas como la auditoria, los controles de
acceso entre otras.
Más que la detección nos interesa el
aseguramiento del activo.

97
Detección de código malicioso

La detección de código malicioso también es una
actividad complicada de llevar acabo dado que no
tenemos la certeza de las actividades que va a
realizar un software hasta que este se ejecuta.
Basándose en ese principio nuestra seguridad está
condicionada a los efectos visibles (patrones o
firmas) que se presenten y aun conociéndolos no
tenemos la certeza absoluta que pueda ser
malicioso.

98
Ejercicio de Análisis de Riesgos

Resolver los siguientes problemas por parejas,
realizar una exposición en la que se de solución
al problema.
Qué métricas permitirían ver que tan efectivo es
el control implementado?
Entrega próximo sábado.

99
Ejercicio 2

Entre los incidentes más recientes en el Hospital
Santa Cecilia se cuentan los siguientes
Se han detectado numerosos equipos a los cuales
los empleados le han instalado aplicaciones como
Hotbar y Messenger Plus. Otros tienen
instalados utilerías que les permiten ver la
temperatura de la ciudad en su desktop. Sin
embargo, estas aplicaciones son shareware y no
están soportadas.

100
Ejercicio 2

Se han reportado clientes del hospital
notificando la recepción de un mail con una liga
que les solicita la actualización de los datos
para ingresar al portal del Laboratorio. El
hospital nunca ha enviado mensajes de ese tipo.
Su portal de banca electrónica estuvo
sobrecargado durante dos días imposibilitando a
sus clientes acceder al mismo.

101
Ejercicio 2

Existe software no licenciado instalado en los
equipos del hospital.
Un empleado de sistemas fue despedido y en
represalia copió el archivo de contraseñas de
acceso al sistema de información de pacientes.
Se detectó virus en diversos equipos a pesar de
contar con software antivirus instalado.

102
Ejercicio 2

Se han detectado accesos no autorizados a los
sistemas.
Qué eventos de los explicados en la sesión han
afectado al hospital?
Con base en tu experiencia que harías para
corregir esta situación?

103
Ejercicio 3

Identifica qué principio y activo es el más
importante para cada una de las siguientes
organizaciones. Justifica tu respuesta.
Secretaría de Hacienda
Ejército
Empresa farmacéutica
Amazon.com
Sistema de Escolar de una Universidad

104
Ejercicio 3

Sistema de emergencias telefónica 066
Su equipo de cómputo personal.
Banco
Carrier de telecomunicaciones.
Coca Cola.

105
Ejercicio 4

La empresa Alfa-2030 ha estado trabajando en los
últimos años desarrollando servicios on-line de
seguros de todo tipo para empresas. Su negocio
está basado en transacciones en Internet a través
de su portal de Internet donde los clientes
realizan todas sus transacciones como
contratación de los seguros, pagos electrónicos
en línea, renovaciones, reclamaciones,
cancelaciones, etc.

106
Ejercicio 4

Esta empresa ha experimentado desde hace meses
ciertos incidentes en materia de seguridad de
información, que a continuación se describen
Recién se ha creado el equipo de seguridad de
información de la empresa, sus procesos
operativos de Seguridad son incipientes
(respaldos de información, manejo de capacidad,
controles de acceso lógico, etc.).

107
Ejercicio 4

La tecnología para proteger la seguridad de
información ha estado poco ausente de hecho este
equipo de Seguridad ha iniciado con planes de
adquirir tecnologías.
El presidente de la empresa ha solicitado a un
experto en seguridad de información que estime
los riesgos para cada una de las siguientes
amenazas

108
Ejercicio 4

Acceso no autorizado a la información de los
clientes.
Software malicioso que afecte a los principales
sistemas de la empresa
Denegación de servicios a su portal de Internet

109
Ejercicio 4

A partir del caso anterior, escriba un reporte
donde determine los riesgos (niveles) para cada
una de las amenazas descritas, tendrá que
justificar sus respuestas en cuanto a describir
las vulnerabilidades y sus impactos.
De manera adicional, escriba un reporte, donde
mencionen al menos 5 controles de Seguridad de
información que mitiguen las amenazas descritas
en este caso.

110
Ejercicio 5

La empresa Alfa-2030 ha decidido iniciar con un
programa formal de Seguridad de información como
una función importante y su propio presupuesto en
la organización, Ricardo Aranguren ha sido
nombrado como Director de Seguridad de
Información dependiendo en forma directa de la
Dirección General, de momento sólo se la ha
asignado a tres personas para esta nueva función.

111
Ejercicio 5

Lo primero que la dirección general le ha
solicitado al Director de seguridad de
información es establecer una política específica
del uso del e-mail dado que han ocurrido
últimamente incidentes en el mismo tales como
virus y gusanos que han causado pérdidas al
negocio, además hay personal que al parecer abusa
de este servicio haciendo mal uso del mismo.

112
Ejercicio 5

Escribe un reporte con está política especifica
con un mínimo de 6 párrafos (cuerpo de la
política). Asegúrate que este documento contenga
estas secciones
Antecedentes
Objetivo
Cuerpo del documento
Responsabilidades
Definición de términos

113
Ejercicio 6

La empresa Alfa-2030 ha estado trabajando en los
últimos años desarrollando servicios on-line de
seguros de todo tipo para empresas. Su negocio
está basado en transacciones en Internet a través
de su portal de Internet donde los clientes
realizan todas sus transacciones como
contratación de los seguros, pagos electrónicos
en línea, renovaciones, reclamaciones,
cancelaciones, etc.

114
Ejercicio 6

El Director general ha solicitado realizar un
plan de trabajo para desarrollar los
procedimientos operativos de Seguridad de
información para su portal de Internet.
Se debe realizar un reporte que seleccione la
prioridad del desarrollo de los siguientes
procedimientos operativos (justifiquen su
respuesta)

115
Ejercicio 6

Procedimientos de respaldos de Información
Procedimientos de control de acceso lógico a la
información
Procedimientos de control de cambios
Procedimientos de control de software malicioso

116
Ejercicio 7

EL Hospital El Milagro ha estado desarrollando
actividades en el medio por más de 5 años, el
director del Hospital le ha llamado a un equipo
especializado en seguridad de información debido
a que se ha sentido frustrado por haber invertido
mucho dinero en seguridad de información sin
tener resultados positivos.
EL director en una entrevista mencionó lo
siguiente (en resumen)

117
Ejercicio 7

El área de seguridad depende del área de redes
Al parecer nunca le alcanza al Hospital el dinero
que se solicita para inversiones en el área de
seguridad.
Los usuarios de los sistemas de información
tienen la impresión que la función de seguridad
nunca los ha tomado en cuenta.

118
Ejercicio 7

El gasto de inversión en equipos de seguridad
como Firewalls, licencias de antivirus,
detectores de intrusos, etc. se ha disparado.
Al parecer estos equipos no han sido efectivos
dado que han ocurrido incidentes de Seguridad y
no se ha protegido al Hospital de estos impactos
causados.
Hace poco un auditor externo mencionó que no vio
ningún procedimiento operativo de seguridad.

119
Ejercicio 7

El encargado de redes batalla mucho para que le
apruebe los proyectos el Hospital dado que el
lenguaje que usa es muy técnico.
Realizar un comentario que brinde consejos al
Director General para poder ir armando la
estrategia de la función de Seguridad de
Información, favor de justificar sus respuestas.

120
Ejercicio 7

De manera adicional se deben realizar las
siguientes actividades
Visión de seguridad de información (a 5 años)
Misión de seguridad de información
Que dimensión será la más relevante en un
Hospital (Disponibilidad, confidencialidad,
Integridad, autenticidad y no repudiación)
Establecer 5 objetivos de seguridad de
información.

121
Ejercicio 8

Retomando el caso del Hospital Santa Cecilia y de
acuerdo a la información proporcionada en el
mismo realiza lo siguiente
Escribe una política de seguridad corporativa
(Máximo tres párrafos).
Identifica tres políticas específicas que
consideras deben de desarrollarse.

122
Ejercicio 8

Lista tres recomendaciones que harías a los
empleados del hospital en cuanto a
Respaldo de información
Correo electrónico
Manejo de usuarios y contraseñas
Uso de equipo de cómputo.

123
Ejercicio 9

El proveedor de servicios de Internet Inter-Fly,
el cual cuenta con más de 10 años de operación en
las tres principales ciudades México, Monterrey
y Guadalajara. Ofrece servicios de Internet
dedicados de alta capacidad a empresas grandes y
medianas.

124
Ejercicio 9

Hace aproximadamente un año implementó un sistema
para presentar las facturas de los clientes en
línea, el tráfico cursado por día y la opción de
pagar las facturas mediante tarjetas de crédito
corporativas y/o transferencias electrónicas.
La empresa cuenta con una granja de servidores
Web los cuales presentan el portal hacia los
clientes y atienden sus peticiones.

125
Ejercicio 9

Los servidores Web se conectan hacia un sistema
de base de datos configurados en alta
disponibilidad los cuales almacenan las facturas,
los registros, las transacciones, las consultas,
los datos completos de los clientes, los números
de las tarjetas de crédito y los números de
cuentas de cheques de los clientes.
Adicionalmente cuentan con switches, enrutadores,
cortafuegos y otros elementos de protección para
garantizar la seguridad del servicio.

126
Ejercicio 9

La operación del proveedor de servicios de
Internet es centralizada y no considera ningún
tipo de redundancia geográfica.
La empresa no cuenta con un programa o modelo de
seguridad de información corporativo pero esta en
sus planes estratégicos para el próximo año. La
seguridad de la empresa se basa en operadores y
administradores de equipos y servidores los
cuales manejan la seguridad de los mismos.

127
Ejercicio 9

Inter-Fly ha decidido implementar muchos de sus
servicios a sus clientes vía Internet, necesitan
saber que elementos de seguridad necesita
implementar en su red local.

128
Ejercicio 10

La Universidad Valle del Norte, la cual cuenta
con más de 100 años de operación en la ciudad de
Monterrey. Cuenta con 10 campus en diversas
ciudades de la República.
Esta Universidad ha dedicado muchos recursos en
sus sistemas de administración escolar,
administración financiera y plataforma de cursos
en línea.

129
Ejercicio 10

Cuenta con más 3,000 equipos de cómputo
conectados a través de sus redes locales, los
cuales mantienen estrecha comunicación con
equipos centrales.
Así mismo maneja conexiones con otras
Universidades que tienen centros de
investigación.

130
Ejercicio 10

El rector de la Universidad ha llamado a un grupo
de expertos de Seguridad de Información para
obtener consejos debido a que se han presentado
ciertos incidentes penosos como alteración
indebida de calificaciones y cursos en línea,
ataques al portal de cursos en línea, epidemias
de virus en algunos sistemas como el financiero,
pérdida de información en los sistemas debido a
problemas de hardware, los sistemas de
inscripciones de han caído en la última
inscripción, etc.

131
Ejercicio 10

En una entrevista con el director de Informática
se pudo visualizar ciertas problemáticas
generales como son
Al parecer cuentan con redes locales muy extensas
o con una deficiente segmentación.
No cuentan con una estructura de firewalls para
proteger sus redes de Internet ni para uso
interno.

132
Ejercicio 10

No cuenta con sistemas de antivirus debidamente
actualizados.
No han tenido tiempo para desarrollar los
procedimientos operativos más importantes para el
día a día.
No existe una política de uso de recursos
computacionales (se detectan acceso a sitios
inmorales).

133
Ejercicio 10

No cuentan con una plataforma ni procesos
robustos de controles de acceso.
Han instalado redes inalámbricas en forma
descontrolada.
Ha habido robo de laptops a alumnos y a
profesores dentro de la Universidad.

134
Ejercicio 10

Los equipos de las salas de alumnos son
continuamente des-configurados.
Hay quejas de falta de capacidad en el sitio
central así como en sus comunicaciones.
Para cada incidente de seguridad proponer
mecanismos de control que ayuden a evitar el
riesgo.

135
Auditorias de seguridad

La auditoria es la evaluación de una persona,
sistema, proceso, proyecto o producto.
La auditoría se utiliza como mecanismo de control
para logar el aseguramiento de la calidad.
La auditoría se centra en verificar y validar el
control interno de una organización. En cuestión
de seguridad es lo mismo.

136
Auditorías de Seguridad

La auditoría describe como se hacen las cosas, no
tanto su existencia. Por ejemplo al auditar una
base de datos se está validando el uso de la base
de datos y no su existencia.
La auditoría es todo un proceso de verificación
de lo que se dice ser con lo que se tiene.
Las auditorías pueden ser generales o técnicas

137
Auditoría de Seguridad

La auditoría de seguridad es una auditoria
técnica. Se recomienda que sea una auditoria de
control superior (externa) aunque es deseable que
se haga de manera interna para control interno.
La auditoría en general y la especializada en
seguridad debe de realizarse en los procesos de
negocios de las organizaciones.

138
Auditorías de Seguridad

Qué es lo que se audita?
Activos de información y la información misma
respecto a como se usa y que se cumplan las
políticas de seguridad.

139
Auditorías de Seguridad
140
Auditorías de Seguridad

El proceso de auditoria finaliza con un reporte
en el cual se indican los hallazgos encontrados y
la evidencia que confirma dichos hallazgos.
Si no se tiene evidencia sustantiva no se puede
sustentar ninguna opinión profesional.
Con la evidencia recabada se debe de poder
reconstruir la instantánea de lo evaluado.

141
Auditorías de Seguridad

Para realizar auditorías de seguridad se requiere
previamente realizar planeación. Sino se tiene un
plan de auditorías no se puede garantizar que es
seguro.
Se pueden utilizar herramientas de análisis de
vulnerabilidades para revisar posibles activos.
Es más recomendable utilizar versiones propias de
análisis de vulnerabilidades.

142
Auditorías de Seguridad

Se pueden realizar a través de forma manual o
auxiliándose de alguna herramienta actualizada.
Los auditores no solucionan los problemas
encontrados, sólo los reportan de la misma forma
que en desarrollo de software un tester prueba no
codifica.

143
Ejemplo de Auditoría

Qué hace el siguiente pseudocódigo?
W, X, Y, Z real
READ W, X
Z 1
While (z gt 0.01) do
Y X (((XX) W)/ (2X))
Z abs(X Y)
X Y
End While
Print X

144
Qué es esto?

.- ..- -.. .. - --- .-. .. .- / .. -. ..-. ---
.-. -- .- - .. -.-. .- /

145
Teoría criptográfica

Es un control de seguridad enfocado en la
confidencialidad e integridad de la información.
Consiste en cambiar un mensaje original por otro
con la finalidad de que dicho mensaje no pueda
ser modificado o visualizado de forma sencilla.

146
Teoría Criptográfica

El criptoanálisis estudia el proceso de descifrar
los mensajes poniéndolos en su forma original, o
bien tratando de romper la seguridad.
La forma correcta del término es cifrar y
descifrar la información.
La criptografía es una ciencia muy antigua.

147
Las claves

Las claves o llaves son el mecanismo por el cual
se pueden cifrar y descifrar la información.
Existen varios algoritmos de cifrado cayendo en
el área de simétricos y asimétricos.
Qué diferencia existente entre ellos?

148
Las Claves

En los simétricos la misma clave se utiliza para
cifrar y descifrar el mensaje. En los asimétricos
se utilizan llaves distintas siendo el esquema
más generalizado el PKI (Public Key
Infrastructure).
Se recomienda utilizar claves asimétricas, aunque
los mecanismos simétricos son más fáciles de
administrar.

149
Aplicaciones criptográficas

Las aplicaciones de la criptografía son muchas,
en general se trata que la información sea menos
vulnerable a cualquier tipo de ataque.

Alice
Bob
data, control messages
channel
secure sender
secure receiver
data
data
Trudy
150
Aplicaciones criptográficas
151
Protocolos criptográficos
152
Criptografía Simétrica
153
Cifrado Asimétrico
154
Comparación
155
Tipos de Cifrado
156
Criptografía de Llave Simétrica

Cifrado por Sustitución substituir un caracter
por otro
Cifrado monoalfabetico

Texto plano abcdefghijklmnopqrstuvwxyz
Texto cifrado mnbvcxzasdfghjklpoiuytrewq
E.g.
Texto Plano bob. i love you. alice
Texto Cifrado nkn. s gktc wky. mgsbc
157
DES Data Encryption Standard

Estándar de Cifrado NIST 1993
Llave de 56 bits, Entrada de 64 bits
How secure is DES?
Con el poder de cálculo actual se puede descifrar
en 4 meses
Mayor seguridad
Usar tres llaves secuenciales (3-DES) en cada
dato
Usar encdenamiento de bloques

158
DES
159
3DES
160
Criptografía de Llave Pública

Simétrica
Requiere enviar la llave por un canal seguro
Cómo se deben poner de acuerdo para determinar
la llave si previamente no se conocen los
emisores y receptores?

Asimétrica
Enfoque diferente Diffie-Hellman76, RSA78
Emisor y Receptor no comparten la llave secreta
La llave pública la conoce cualquiera
La llave privada solo la conocen cada quien.

161
Public key cryptography

Bobs public key
K
B
-
Bobs private key
K
B
encryption algorithm
decryption algorithm
plaintext message
plaintext message, m
ciphertext
162
Firmas digitales, huellas digitales y
certificados digitales

Las aplicaciones de criptografía van más allá de
simplemente cifrar un texto. En algunas ocasiones
se necesita verificar la autenticidad de algo
para ello están las firmas, las huellas y los
certificados digitales.

163
Firmas Digitales

Firma digital para un mensaje m
Bob firma m cifrándolo con su llave privada
KB, creando un mensaje firmado KB(m)

-
-
Llave privada de Bob
Mensaje de Bob, m
(m)
Querida Alice! Hola ) Bob
Mensaje de Bob, m, firmado con su llave primaria
Algoritmo de cifrado de cllave publica
164
Firmas Digitales

Si Alice recibe un mensaje m, con firma digital
KB(m)
Alice verifica m firmada por Bob aplicando la
clave pública de Bob KB a KB(m) entonces verifica
KB(KB(m) ) m.
Si KB(KB(m) ) m, quien haya frmado m debió
haber usado la llave privada de Bob.

-
-
-

-

Alice comprobó que
Bob firmó m.
Nadie más firmo m.
Bob firmo m y no m.
No repudio

-
165
Certificados de Clave Pública

Problema de las llaves públicas
Cuando Alice obtiene la llave pública de (de un
sitio Web, correo, diskette), Cómo sabe
realmente que es la clave pública de Bob?
Solución
Confiando en una autoridad certificadora (CA)

166
Certification Authorities

Certification Authority (CA) liga una llave
pública K a una Entidad privada E.
E registra s llave pública con CA.
E provee de pruebas de identidad a la CA.
CA crea un certificado que liga a E con su llave
Pública.
El certificado contiene la llave pública de
firmada por la CA.

Bobs public key
CA private key
certificate for Bobs public key, signed by CA
-
Bobs identifying information
167
Autoridades de Certificación

Cuando Alice quiere la llave pública de Bob
Obtiene el certificado de Bob (por medio de Bob
or de alguién más).
Aplica la llave pública de CA al certificado de
Bob, para obtener la llave pública de Bob.

Bobs public key
CA public key

168
Un Certificado contiene

Número de serie (único)
Información acerca del dueño certificadocertificat
e, incluyendo el algoritmo de validación.

169
Pretty good privacy (PGP)

Estándar de Facto de Firma de Correo Electrónico
Usa criptografía simétrica, asimetrica.
Provee de secrecía, auntenticación del emisor e
integridad.
Inventor Phil Zimmerman, (3 años de
investigación)

Un mensaje firmado con PGP

---BEGIN PGP SIGNED MESSAGE---
Hash SHA1
BobMy husband is out of town tonight.Passionately
yours, Alice
---BEGIN PGP SIGNATURE---
Version PGP 5.0
Charset noconv
yhHJRHhGJGhgg/12EpJlo8gE4vB3mqJhFEvZP9t6n7G6m5Gw2
---END PGP SIGNATURE---

170
Criptoanálisis

Algunos ejemplos de algoritmos simétricos

171
RSA

Un ejemplo de RSA

172
Políticas y Normas

El gran problema de la seguridad Tenemos (mas
que suficientes) tecnologías de seguridad, pero
no sabemos como estamos (en el caso de que lo
estemos) de seguros.
En términos genéricos tenemos mejor calidad de
vida pero eso no nos garantiza tener seguridad.

173
Políticas y Normas

Como se había comentado lo más importantes es
saber lo que se quiere proteger (políticas y
normas)
Algunos problemas de seguridad en SO
Arranque inseguro
Quién lo arranca?
Es realmente el código original?

174
Seguridad en SO

Ejecución insegura
Usuarios con muchos privilegios
Servicios inútiles y con demasiados privilegios
Degradación de la seguridad
Integración de nuevo software
Dispositivos de almacenamiento masivo
Sistema sin parchear
Antivirus y Antimalware desactualizados

175
Seguridad en SO

Existen diversos enfoques de seguridad. Los más
comunes son el top-down y el bottom-up.
En el enfoque descendente se inicia con las
aplicaciones hasta llegar al sistema operativo y
hardware. En el bottom-up que es el más extendido
el proceso va al revés (primero que nada
seguridad física).

176
Seguridad en S.O.

En general un buen mecanismo de seguridad
consistirá en un sistema escalonado de permisos
(similar a las transacciones en dos fases de la
base de datos).
Además del control de acceso a los recursos, el
sistema operativo debe de llevar la contabilidad
y la auditoria de las actividades realizadas.
Cómo se logra la CIA en un SO?

177
Seguridad en SO

La seguridad de las aplicaciones dependen del SO
anfitrión.

178
Seguridad en S.O.

Para alcanzar mayor seguridad el SO tanto como
las aplicaciones se desarrollan a través de
diversas arquitecturas de software modulares.
Una de las arquitecturas más difundidas es la de
microkernel. Separando aplicaciones por capas se
puede garantizar seguridad por aislamiento pero
hace más vulnerable a los sistemas.

179
Arquitectura de Windows NT
Envinroments Subsystem
Procesos del Sistema
Services
Applications
Windows
OS/2
Session Handler
POSIX
Windows DLLs
System Thread
NTDLL.DLL
System Dispatch System
Windows USER, GDI
(Kernel Mode Interfaceel)
Object Handler
File System Cache
I/O Manager
Plug and Play Manager
Energy Manager
Security Reference Monitor
Virtua Memory
Process and Threads
Local Process Call
Configuration Manager (Registry)
File System and Device Drivers
Grpahical Manager
Kernel
Interfaces de Hardware(buses, Dispositivos de E/S
, interrupcciones, intervalos de temporizadores,
DMA, control de memoria cache , etc.)
Hardware Abstraction Layer (HAL)
180
Seguridad en SO

Los sistemas operativos suelen utilizarse en modo
supervisor del microprocesador para garantizar
que las aplicaciones causen menos conflictos.
Los SO deben de proporcionar APIs a los programas
de aplicación para garantizar seguridad. Por
ejemplo GINA (Graphical Identification and
Autentication ) y algunas criptoAPIs.

181
Seguridad en SO

Para el usuario el Sistema es lo que ve y los SOs
no son la excepción. Generalmente las interfaces
de usuario en los SO contienen rutinas para
manipulación de archivos dado que para la mayoría
de SO (principalmente sistemas X) tienen la
premisa de que todo es un archivo.

182
Registro

BD centralizada que guarda información de
configuración del sistema. Es seguro?

183
Matriz de Acceso

Determina que pueden realizar los usuarios sobre
los recursos.

184
Integridad de Aplicaciones
185
Cajas de arena
186
Listas de Control de Acceso

ACL mecanismos que permiten variar los permisos
y usuarios sobre los recursos

187
Clasificación de Seguridad
188
Seguridad en Windows NT

Manejo de Errores y subsistemas protegidos.
NT tolera fallos y estos no afectan a otros
componentes.
Sistema de archivos recuperable.
La E/S de disco se ve como una sola transacción.
Ante fallos vuelve atrás.
Soporte para cintas de respaldos.

189
Seguridad en Windows NT

Soporte para UPS
Espejado de disco.
Para que nos sirve hacer particiones en cuestión
de seguridad?
Qué diferencias existen de seguridad entre los
sistemas de archivos FAT y NTFS?

190
Seguridad en Windows NT

Manejo de control de acceso (No existe en FAT?)
Sistema de Logging
Existe desfragmentación para NTFS?
Manejo de comprensión
Manejo de cifrado?

191
Seguridad en Windows NT

Es sensible a mayúsculas y minúsculas para
sistemas X e indiferente en DOS y Windows.
Los permisos disponibles son
Lectura
Escritura
Ejecución
Borrado
Cambio de permisos
Tomar posesión

192
Seguridad en Windows NT

Manejo de Dominios (servicio de directorios) para
la compartición y uso de recursos.
Los dominios pueden estar en un solo servidor o
distribuidos por la red. La redundancia de datos
es seguridad?
Los datos sobre los usuarios se guardan en una
base de datos llamada SAM (disponible en
cualquier servidor).